OGA Aker IPSdownload.aker.com.br/prod/current/manuais/aker-ips/aker... · 2019-06-11 · Ogasec Brasília/DF CEP: 70750-650 Tel./Fax: (61) 3038-1900 5 1. Introdução Seja bem-vindo

Ogasec

Brasília/DF ▪ CEP: 70750-650 ▪ Tel./Fax: (61) 3038-1900

1

OGA Aker IPS

Versão 3.0

Ogasec


2

Índice

ÍNDICE ........................................................................................................................................ 2

1. INTRODUÇÃO ..................................................................................................................... 5

Como está disposto este manual ........................................................................................... 5

LISTA DE ABREVIATURAS E SIGLAS ....................................................................................................... 7

2. OGA AKER IPS ..................................................................................................................... 9

AKER INTRUSION PREVENTION SYSTEM (OGA AKER IPS) ....................................................................... 9

IMPLEMENTANDO O OGA AKER IPS ................................................................................................. 12

INSTALAÇÃO E REQUISITOS DO SISTEMA ............................................................................................. 13

INSTALANDO O OGA AKER IPS EM MÁQUINA VIRTUAL ........................................................................ 14

CONFIGURANDO INTERFACES DE REDE NO OGA AKER IPS .................................................................... 17

CONFIGURANDO O DNS ................................................................................................................. 21

PRIMEIRO ACESSO AO OGA AKER IPS ............................................................................................... 22

MODO DE OPERAÇÃO DO OGA AKER IPS .......................................................................................... 27

IPS Manager ........................................................................................................................ 27

IPS Sensor............................................................................................................................. 27

3. DASHBOARD ..................................................................................................................... 30

ABA DASHBOARD .......................................................................................................................... 31

Geolocalização ..................................................................................................................... 39

Configurando o bloqueio de IP por Geolocalização: ............................................................ 40

ABA EVENTOS .............................................................................................................................. 41

ABA NTOPNG............................................................................................................................. 43

4. RELATÓRIOS ..................................................................................................................... 45

CRIANDO UM RELATÓRIO ................................................................................................................ 45

GERANDO UM NOVO RELATÓRIO ...................................................................................................... 48

AGENDAR RELATÓRIOS ................................................................................................................... 50

VISUALIZAR RELATÓRIOS ................................................................................................................ 52

RELATÓRIOS PADRÃO..................................................................................................................... 53

CUSTOMIZAÇÃO ............................................................................................................................ 53

PREFERÊNCIAS .............................................................................................................................. 53

5. PROTEÇÃO ........................................................................................................................ 54

REGRAS ....................................................................................................................................... 54

Listagem .............................................................................................................................. 54

Cadastrando uma nova Regra ............................................................................................. 55

IMPORTAR ................................................................................................................................... 59

Importando regras ............................................................................................................... 61

Ogasec


3

Grupos ................................................................................................................................. 61

Cadastrando um novo grupo de regras ............................................................................... 62

Alertas por e-mail ................................................................................................................ 62

Atualização de regras .......................................................................................................... 63

POLÍTICAS .................................................................................................................................... 64

Cadastrando uma nova Política ........................................................................................... 64

Aba geral ............................................................................................................................. 64

Pré-processadores: .............................................................................................................. 65

Engine de detecção .............................................................................................................. 68

Aba Regras ........................................................................................................................... 68

Whitelist por Assinaturas ..................................................................................................... 71

LISTA DE IPS ................................................................................................................................. 72

FLUXO ........................................................................................................................................ 73

Cadastrando um novo Fluxo ................................................................................................ 74

SENSORES .................................................................................................................................... 79

Cadastro de Sensor .............................................................................................................. 79

QUARENTENA .............................................................................................................................. 81

SERVIDORES DE DECRIPTAÇÃO DE PACOTES SSL E TLS .......................................................................... 83

6. SISTEMA ........................................................................................................................... 84

ATUALIZAÇÕES ............................................................................................................................. 84

BACKUP ...................................................................................................................................... 85

Criar ..................................................................................................................................... 85

Restauração de Backup ....................................................................................................... 86

CERTIFICADO HTTPS ..................................................................................................................... 87

CONFIGURAÇÃO GERAL .................................................................................................................. 88

CONFIGURAÇÃO DE HORA .............................................................................................................. 90

CONTROLE DE ACESSO .................................................................................................................... 91

Tipo de autenticação ........................................................................................................... 91

Perfis .................................................................................................................................... 92

Cadastro de Perfil ................................................................................................................ 92

Usuários ............................................................................................................................... 93

Cadastro de usuários ........................................................................................................... 93

E-MAIL ....................................................................................................................................... 94

LOGS DO SISTEMA ......................................................................................................................... 95

7. AJUDA ............................................................................................................................... 97

LICENCIAMENTO ........................................................................................................................... 97

CONTRATO DE LICENÇA .................................................................................................................. 99

SOBRE ........................................................................................................................................ 99

Ogasec


4

GERENCIAMENTO DA CONTA DO USUÁRIO .......................................................................................... 99

8. SUPORTE A FAIL-OPEN (BYPASS) .................................................................................... 100

9. AKRESCUE ....................................................................................................................... 107

PEN-DRIVE DE RECUPERAÇÃO ........................................................................................................ 107

Snapshot ............................................................................................................................ 108

SISTEMA DE ATUALIZAÇÃO DE VERSÃO; ............................................................................................ 108

Atualização ........................................................................................................................ 109

LISTA DE COMANDOS DISPONÍVEIS PARA A INTERFACE DE TEXTO DO OGA AKER IPS ................................. 110

10. VMWARE .................................................................................................................... 113

COMO ALTERAR O TIPO DE INTERFACE DE REDE NO VMWARE PARA USO NO OGA IPS .............................. 113

Configurando novas interfaces no VmWare ...................................................................... 113

11. INTERCEPTAÇÃO DE PACOTE SSL E TLS ...................................................................... 120

Ogasec


5

1. Introdução

Seja bem-vindo ao manual do usuário do OGA Aker Intrusion Prevention System (OGA Aker

IPS).

Nos próximos capítulos, você aprenderá como configurar essa poderosa ferramenta de

detecção e prevenção de intrusões. Esta introdução tem como objetivo descrever a organização deste

manual, tornando sua leitura a mais simples e agradável possível.

Como está disposto este manual Este guia é organizado em vários capítulos que mostram um aspecto de configuração do produto e

todas as informações relevantes ao aspecto tratado. Ele foi criado com o objetivo de auxiliar engenheiros,

gerentes dos produtos e especialistas de rede a instalar, configurar e entender as funcionalidades do OGA Aker

IPS.

Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado, seguido dos

aspectos específicos de configuração do OGA Aker IPS. Juntamente com esta introdução teórica, alguns

módulos possuem exemplos práticos do uso do serviço a ser configurado. Em situações hipotéticas, porém,

bastante plausíveis. Buscamos, com isso, tornar o entendimento das diversas variáveis de configuração o mais

simples possível.

Recomendamos que este manual seja lido na ordem apresentada pelo menos uma vez.

Posteriormente, se for necessário, é possível utilizá-lo como fonte de referência.

Para facilitar o seu uso como referência, os capítulos estão divididos em tópicos, com acesso imediato

pelo índice principal. Desta forma, encontra-se facilmente a informação desejada.

No decorrer deste manual aparecerá o símbolo seguido de uma frase escrita em letras vermelhas,

isto significa que, a frase em questão, é uma observação muito importante e deve ser totalmente entendida

antes que se prossiga com a leitura do capítulo.

IDS

IDS (Intrusion Detection System), Sistema de Detecção de Intrusos ou Sistema de Detecção de

Intrusão refere-se aos meios técnicos de descobrir, em uma rede, acessos não autorizados, que podem indicar

a ação de um cracker ou até mesmo de colaboradores mal-intencionados.

Com o acentuado crescimento das tecnologias de infraestrutura, tanto nos serviços quanto nos

protocolos de rede, torna-se cada vez mais difícil a implantação de Sistemas de Detecção de Intrusos. Esse

fato está intimamente ligado não apenas à velocidade com que as tecnologias avançam, mas principalmente

à complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.

http://pt.wikipedia.org/wiki/Cracker

Ogasec


6

Uma solução bastante discutida é a utilização do host-based IDS, que analisa o tráfego de forma

individual em uma rede. No host-based, o IDS é instalado em um servidor para alertar e identificar ataques e

tentativas de acessos indevidos à própria máquina.

IDS em redes de alta velocidade

A evolução tecnológica tem, também, permitido que um maior número de redes possua altas

velocidades de transmissão de dados. Sob o ponto de vista da implantação de IDS, isso se torna bastante

delicado, já que traz questões importantes para a manutenção da infraestrutura de redes. Exemplo: os

softwares IDS conseguirão analisar toda a grande quantidade de dados que trafegam na rede? O hardware de

monitoramento suportará tamanho tráfego? Os IDSs não irão prejudicar a performance da rede se tornando

um gargalo?

Essas e outras questões têm sido muito discutidas, gerando uma série soluções para contornar tais

problemas. Destacando-se:

• Aumento do poder de processamento dos equipamentos;

• Monitoramento utilizando-se target IDSs definidas pelo administrador;

• Direcionamento de tráfego, Toplayer;

• Recursos de filtragem dos IDSs;

• Segregação de IDS por serviço (IDS especialista).

IPS

IPSs (Intrusion Prevention System) ou Sistemas de Prevenção de Intrusões evoluíram no final dos anos

1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção em linha. A

princípio, o IPS era apenas um Sistema de Detecção de Intrusos (IDS) que possibilita alguma interação com o

firewall para controlar o acesso. Em pouco tempo, foi necessário desenvolver algo mais robusto, pois apenas

comandar o firewall não bastava: ainda era possível que, ao menos aquele pacote malicioso, trafegam na rede.

A solução era implementar formas inteligentes de bloqueio dentro do IPS.

Visto como uma extensão do Aker Firewall, o IPS possibilita decisões de acesso baseadas no conteúdo

da aplicação e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham. Entretanto,

nada impede que, para otimizar a performance, muitos IPSs utilizem regras baseadas em portas e endereço

IP.

O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades

potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS

baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer

que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as

funções de host.

Ogasec


7

A vantagem de um Sistema de Prevenção de Intrusos está em ser um excelente detector de tráfego

malicioso com base em seu comportamento facilitando a detecção de tráfegos anômalos desconhecidos, o

conjunto de funcionalidade de detecção em modo statefull ou stateless ajuda a diminuir a quantidade de falsos

positivos, sendo assim uma média de falso positivo e falso negativo baixa.

Lista de abreviaturas e siglas

DMZ – DeMilitarized Zone

HD – Hard Disk

HTTP – HyperText Transfer Protocol

ICMP – Internet Control Message Protocol

IDS – Intrusion Detection System

IMAP – Internet Message Access Protocol

IP – Internet Protocol

IPS – Intrusion Prevention System

IPSEC– IP Security Protocol

IPX – Internetwork Packet Exchange

ISP – Internet Service Provider

LAN – Local Area Network

POP – Point Of Presence

RPC – Remote procedure Call

SIP – Session Initiation Protocol

SMTP – Simple Mail Transfer Protocol

SNMP – Simple Network Management Protocol

SPX – Sequenced Packet Exchange

SQL – Structured Query Language

SO – Sistema Operacional

TCP – Transmission Control Protocol

URL – Uniform Resource Locator

http://pt.wikipedia.org/wiki/DMZ

http://pt.wikipedia.org/wiki/Disco_r%C3%ADgido

http://pt.wikipedia.org/wiki/HTTP

http://pt.wikipedia.org/wiki/ICMP

http://pt.wikipedia.org/wiki/IDS

http://pt.wikipedia.org/wiki/IMAP

http://pt.wikipedia.org/wiki/IP

http://pt.wikipedia.org/wiki/Sistema_de_preven%C3%A7%C3%A3o_de_intrusos

http://pt.wikipedia.org/wiki/Ipsec

http://pt.wikipedia.org/wiki/IPX/SPX

http://pt.wikipedia.org/wiki/ISP

http://pt.wikipedia.org/wiki/Rede_de_%C3%A1rea_local

http://pt.wikipedia.org/wiki/Point_of_presence

http://pt.wikipedia.org/wiki/Chamada_de_procedimento_remoto

http://pt.wikipedia.org/wiki/SIP

http://pt.wikipedia.org/wiki/SMTP

http://pt.wikipedia.org/wiki/Simple_Network_Management_Protocol

http://pt.wikipedia.org/wiki/IPX/SPX

http://pt.wikipedia.org/wiki/SQL

http://pt.wikipedia.org/wiki/Sistema_operativo

http://pt.wikipedia.org/wiki/TCP

http://pt.wikipedia.org/wiki/URL

Ogasec


8

VPN – Virtual Private Network

http://pt.wikipedia.org/wiki/VPN

Ogasec


9

2. OGA Aker IPS

Neste capítulo, iremos abordar de uma forma detalhada o que o OGA Aker IPS, sua instalação,

configuração, menus e funcionalidades.

Aker Intrusion Prevention System (OGA Aker IPS) Todos os dias, empresas são ameaçadas por milhares de ataques cibernéticos, os quais muitas vezes

resultam em falhas de segurança críticas e geram bilhões de reais de prejuízo, além dos grandes danos à

imagem da (s) corporação (oes).

Ambientes tecnológicos estão constantemente sob ataque, independentemente do tamanho da

empresa que os mantêm. Devido ao crescimento contínuo das ameaças cibernéticas, que tem alcançado

proporções epidêmicas, o aumento da complexidade dos métodos de proteção contra esses ataques e a luta

das empresas para manter sua rede segura, motivaram a Aker desenvolver o OGA Aker IPS, uma solução

completa de detecção e prevenção de intrusões que irá ajudar a proteger a integridade de sua rede

computacional contra as ameaças cibernéticas.

O OGA Aker IPS é uma solução integrada de Segurança da Informação em software do tipo IDS/IPS e

Filtro de Aplicações. Possui a capacidade de se integrar a um único dispositivo e efetuar inspeções de tráfego

de modo passivo e/ou ativo, além de fazer filtragem de aplicações.

O OGA Aker IPS permite que o usuário detecte, identifique e execute ações preventivas em relação às

ameaças cibernéticas, antes que estas possam causar danos à empresa (exploração de falhas de segurança,

violação de dados confidenciais, etc.).

De quais tipo de ameaça minha empresa estará protegida, utilizando o OGA Aker IPS?

• Worms;

• Backdoors;

• Ataques de negação de serviços DoS/DDos;

• Ataques a comunicações VoIP;

• Ataques do tipo dia-zero (zero-day);

• Cabeçalhos inválidos de protocolo;

• Ataques de fragmentação de pacotes

• Trojan;

• Port Scans;

• Spywares;

• Ataques de estouro de pilha (buffer overflow);

• Tráfego malformado;

Benefícios:

Ogasec


10

• Possibilita a adoção de estratégias preventivas, evitando prejuízos às empresas;

• Detecta e bloqueia mais de 2.800 assinaturas de aplicação, citamos alguns grupos, para

mais visualização veja a lista na solução, em Grupos, Listagem: o P2P

o Chat

o IM

o Acesso remoto

o Áudio e vídeo

o Media social

o Tor

o Web server

• Dispõe de hardwares dedicados com múltiplos processadores;

• Possibilita a habilitar e desabilitar de regras de forma rápida;

• Permite a criação de WhiteLists e Blacklists;

• Suporte Multi-fluxos;

Possibilita a inclusão de um ou mais fluxos para um mesmo par de interface. Assim, pode-se

utilizar políticas diferentes para alvos distintos. Oferece suporte a VLAN, criação de múltiplos

fluxos por par de interface de rede, múltiplas políticas, alvos distintos em políticas diferentes e

mais.

• Possui mais de 55.000 assinaturas de ataque;

• Conta com relatórios internos detalhados;

• Permite a inserção de novas regras/assinaturas sem interrupção de tráfego;

• Viabiliza sua gerência por meio de interface gráfica intuitiva e segura;

• Suporte Fail-Open (bypass);

• Suporte a Jumbo Frames;

• Suporte a Jumbo Frames;

• Geolocalização de Eventos;

• Suporte a alteração de certificado HTTPS;

• Rotação Automática dos Dados;

• Gestão de serviços opcionais;

• Gerência centralizada de sensores;

• Suporte à inspeção para o protocolo IPv6.

• Técnicas de tunelamentos:

✓ IPv4 em IPv6,

✓ IPv4 em IPv6

✓ IPv6 em IPv4

✓ IPv6 em IPv6

✓ IPv6 com VLAN

✓ Labels MPLS

O OGA Aker IPS possui sua própria distribuição baseada no Yocto Project.

Ogasec


11

O Yocto oferece modelos, ferramentas e métodos que auxiliam na criação de um sistema customizado

baseado em Linux, permitindo embutir produtos, independentemente da arquitetura de hardware, em sua

própria distribuição Linux. O projeto Yocto foi fundado em 2010 com uma iniciação colaborativa entre diversos

fabricantes de hardware, vendedores de sistemas operacionais open source, e empresas de eletrônicos, com

o objetivo principal de estabelecer ordem no desenvolvimento de distribuições Linux embutidas.

Porque não utilizar uma distribuição existente?

➢ Maior flexibilidade, controle e segurança por utilizar uma distribuição própria;

➢ Evita a dependência de desenvolvedores que estão fora de sua administração.

➢ Aumento de:

➢ Segurança;

➢ Melhor gerenciamento de cronograma de entrega;

➢ Customização do tamanho da imagem;

➢ Facilidade na integração com ferramentas de licenciamento;

➢ E mais;

Principais funcionalidades do OGA Aker IPS:

➢ MODO IDS/IPS PASSIVO E ATIVO

Permite a análise do tráfego de rede de acordo com as regras definidas pelo usuário, executando

diversas ações baseadas nelas.

➢ ATUALIZAÇÃO DE ASSINATURA

Receba atualizações automáticas de assinaturas de ataques por meio de agendamento diário ou de

hora em hora.

➢ BLOQUEIO DE APLICATIVOS

O OGA Aker IPS tem a capacidade de inspecionar e bloquear, em tempo real, aplicativos e

transferências de arquivos do tipo P2P (peer to peer), como Kazaa e IM (Instant Messaging) e etc.

➢ BLOQUEIO DE DOWNLOADS

A solução controla e bloqueia o download de tipos de arquivos específicos via FTP e HTTP.

➢ IDENTIFICAÇÃO DE TRÁFEGO WEB

O tráfego Web é identificado e classificado de acordo com as aplicações e sub-aplicações trafegando

na rede, tais como Redes Sociais e demais ferramentas de comunicação.

➢ PROTEÇÃO CONTRA IP SPOOFING

O OGA Aker IPS conta com um mecanismo contra-ataques de falsificação de endereços (IP Spoofing).

➢ GERENCIAMENTO CENTRALIZADO

Ogasec


12

O OGA Aker IPS oferece o gerenciamento centralizado (IPS Manager) de sensores (IPS Sensor), sendo

possível o monitoramento das informações operacionais e de segurança, assim como políticas e fluxos

distintos.

A seguir o gráfico da arquitetura do OGA Aker IPS:

Implementando o OGA Aker IPS O OGA Aker IPS pode ser implementado em diversas posições estratégicas na rede. A seguir, alguns

exemplos:

A Home_NET é a Rede protegida do OGA Aker IPS e a External_NET a Rede de Entrada.

Ogasec


13

➢ OGA Aker IPS 1 – Neste modelo de implementação, o OGA Aker IPS irá detectar

ataques externos, funcionando no próprio firewall;


ataques que conseguiram passar pelo Firewall e tem a DMZ 1 como alvo;


ataques que conseguiram passar pelo Firewall e tem a DMZ 2 como alvo;


ataques internos e externos direcionados a rede interna.

Instalação e requisitos do sistema OGA Aker IPS pode ser adquirido na forma de Appliance ou IS/VM.

Os instaladores do OGA Aker IPS juntamente com atualizações estão disponíveis para em:

http://www.aker.com.br/produtos/aker-ips/downloads/

Para que o OGA Aker IPS funcione de maneira satisfatória, é recomendado que os requisitos abaixo

sejam atendidos:

OGA Aker IPS Box:

Requisito mínimo para throughput aproximado de 40 Mb/s

➢ HD: 160 GB

➢ RAM: 4 GB

Processador: 2 núcleos de 1.6 GHz (Intel® D-510 CPU 1.6GHz)

Requisito mínimo para throughput aproximado de 1 Gb/s.

➢ HD: 160 GB

➢ RAM: 8 GB

➢ Processador: 4 núcleos de 3 GHz (Intel® Core™ i3-2120 Processor)

VM:

➢ HD: 160 GB

➢ RAM: 4 GB

➢ Número recomendado de CPUs: 4

O sistema realiza a rotação dos dados armazenados de forma automática, seguindo a métrica

descrita a seguir:

O rotate é realizado com os eventos coletados no período de “6 meses (180 dias)”, excluindo assim,

os eventos mais antigos contidos no período.

http://www.aker.com.br/produtos/aker-ips/downloads/

Ogasec


14

Armazenamento médio de 200 milhões de eventos no período de 180 dias.

A seguir, o procedimento de instalação do OGA Aker IPS em uma IS/VM.

Instalando o OGA Aker IPS em Máquina Virtual

A seguir, será abordada uma visão geral do procedimento de instalação do OGA Aker IPS.

Siga os passos descritos a seguir para instalar o OGA Aker IPS:

➢ Após efetuar a criação da máquina virtual, inicie a mesma, e aguarde o

carregamento dos módulos de inicialização. O menu principal será exibido.

Selecione a opção 1.

➢ Em seguida, o aviso referente a perda de todas as configurações presentes no

produto será exibido. Confirme para iniciar o processo de instalação.

➢ Em seguida, os Hard Drives presentes no appliance serão listados, então,

selecione o HD que deseja instalar o OGA Aker IPS e confirme para continuar o

processo.

Ogasec


15

➢ O processo de instalação será iniciado, aguarde até que o mesmo seja concluído.

➢ Ao concluir o processo de instalação, a tela de configuração do LCD será exibida.

Selecione o modelo de seu appliance para configurar o LCD.

Na instalação em VM, a opção 8 finaliza a instalação.

Ao concluir a configuração do LCD, a instalação será finalizada, e o menu principal será apresentado

novamente. Selecione a opção “4. sair” para reiniciar o appliance.

Ogasec


16

Em caso de dúvidas sobre o modelo de seu appliance consulte o Datasheet do OGA Aker IPS em:

http://www.aker.com.br/produtos/aker-ips/

Credenciais de acesso padrão do OGA Aker IPS:

• Usuário: aker

• Senha: 123456

É recomendado que estas informações sejam alteradas no primeiro login.

Alteração das credenciais de acesso para a interface de texto.

Para alterar a senha de login do usuário “Aker” utilize o comando: passwd aker

Para alterar a senha de “root” utilize o comando: sudo passwd root

E caso deseje alterar o nome de usuário utilize o comando: chfn

http://www.aker.com.br/produtos/aker-ips/

Ogasec


17

Alteração das credenciais de acesso para a interface de gerenciamento web do OGA Aker IPS.

Para alterar a senha de acesso da interface web, clique sobre o nome do usuário (localizado na parte

superior direita da tela) e selecione a opção “Alterar senha”.

As credenciais de acesso da interface de texto e Interface web são distintas, ou seja, ao alterar as

credenciais da Interface de Texto não altera as credenciais de acesso da Interface Web.

Toda a gerência de usuários é feita pelo IPS Manager, por este motivo a opção de alteração de senha

não será possível a partir do IPS Sensor.

Configurando interfaces de rede no OGA Aker IPS Este tópico exibe passo a passo as etapas da configuração de rede do OGA Aker IPS.

A configuração de VLANs é realizada somente pelo comando nmtui. A utilização deste comando é

recomendada para configurações de rede avançadas.

O OGA IPS suporta VLAN Padrão 802.1q.

Configuração de rede padrão.

Por padrão as configurações de rede descritas abaixo são automaticamente definidas na instalação do

OGA Aker IPS. Para modificá-las utilize o comando “akinterface” via linha de comando (Console ou ssh).

Interface ETH0 – esta interface é definida para o modo DHCP cliente, obtendo assim, o endereço IP,

máscara de rede e rota padrão automaticamente. Pode ser usada como interface de gerência do sistema e

funcionará, principalmente, em caso de emergência no acesso ao appliance. Possibilitando que uma estação

de gerência seja configurada nessa porta e o acesso ao sistema estará sempre ativo, ou seja, não dependerá

das demais infraestruturas de rede.

Hostname – por padrão o OGA Aker IPS recebe o hostname “ips.aker.com.br”.

Ogasec


18

A seguir, os passos para configurar as interfaces de rede do OGA Aker IPS utilizando o comando

interface.

✓ Via interface de texto, execute o comando “interface”.

✓ O menu de opções do módulo de configuração de interface de rede será exibido,

selecione a opção “1 – Configuração de interfaces”.

✓ Em seguida, selecione a opção “2 – Configurar manualmente”.

Ogasec


19

✓ Selecione a interface de rede que deseja configurar, para isso digite o nome da

interface, exemplo, eth1.

✓ Em seguida, defina as configurações de Endereço de rede IPv4, máscara e

endereço de rota.

Ogasec


20

O endereço de rota deve ser definido apenas para a interface de saída do OGA

Aker IPS.

A Home_NET é a Rede Protegida do OGA Aker IPS e a External_NET a Rede de Entrada.

O campo “Endereço de rota” deve ser preenchido caso a rede em uso seja a rota

padrão do OGA Aker IPS, caso contrário, o preenchimento deste campo opcional.

Para finalizar pressione a tecla Enter.

Caso opte por obter as configurações automaticamente, no “passo 3” descrito acima, selecione a

opção “3 – Configurar automaticamente” e defina a interface de rede desejada. Em seguida, pressione a tecla

“Enter”.

Ogasec


21

Configurando o DNS

Este tópico exibe passo a passo as etapas da configuração de DNS do OGA Aker IPS.

✓ Via interface de texto, execute o comando “interface”.

✓ O menu de opções do módulo de configuração de rede será exibido, selecione a

opção “2 – Configuração de servidores DNS”.

✓ Em seguida, o módulo de configuração DNS será exibido, selecione a opção “2 –

Adicionar novo servidor”.

Ogasec


22

✓ Insira o endereço IP de seu servidor DNS e pressione a tecla “Enter”.

Por meio do módulo de configuração de DNS também é possível alterar o hostname da máquina,

inserir ou remover servidores DNS

Primeiro acesso ao OGA Aker IPS

Ogasec


23

Após concluir a instalação, acesse o IP definido para o OGA Aker IPS (interface de gerenciamento) no

seu navegador. Para visualizar este IP utilize o comando “ifconfig” ou por meio do comando “interface”

acionando a opção “1 – Listar interfaces”.

No primeiro acesso à interface web de gerenciamento do OGA Aker IPS, será exibida uma mensagem

informando que conexão não é segura. Essa mensagem é exibida devido a utilização de um certificado auto

assinado. Adicione o certificado na lista de exceção do navegador para continuar.

Ogasec


24

Ao acessar o endereço IP de seu OGA Aker IPS, conecte-se ao sistema utilizando suas credenciais de

usuário.

Senha padrão Interface de gerenciamento web.

• Usuário padrão: admin

• Senha padrão: 123456

Senha padrão Interface texto

Ogasec


25

• Usuário padrão SSH: aker

• Senha padrão SSH: 123456

Altere esta senha utilizando o comando “passwd (nome de usuário) ”.

Exemplo: passwd aker

Modifique esta senha após efetuar o login, na opção alterar senha, localizada na parte superior

direita da tela do OGA Aker IPS Manager.

Toda a gerência de usuários é feita pelo IPS Manager, por este motivo a opção de alteração de senha

não será possível a partir do IPS Sensor.

No primeiro acesso, a tela de licenciamento será exibida ao usuário. Siga os passos descritos a seguir

para aplicar sua licença no OGA Aker IPS.

Caso o usuário não possua uma licença, é necessário que o número da chave de hardware seja copiado

e encaminhado para [email protected], solicitando uma licença para o seu hardware ou IS/VM, ao receber

a licença siga os passos a seguir.

Ao receber a licença, clique no botão para localizar sua licença. A janela a seguir será exibida,

localize o arquivo e clique em “Abrir”.

Ogasec


26

Ao localizar o arquivo clique no botão para carregar o arquivo ou em para limpar a seleção

e selecionar outro arquivo. Ao carregar a licença suas informações serão exibidas como na imagem a seguir:

Ogasec


27

Após verificar as informações de sua licença clique em .

Esta janela permite que o usuário visualize as informações da licença em uso. Cabe ressaltar que,

ao carregar uma nova licença, as informações serão atualizadas, e somente as informações da nova

licença que foi carregada serão exibidas, descartando assim, informações da licença antiga.

Após aplicar a licença, uma janela será exibida com as informações da licença aplicada. A opção

estará habilitada caso o usuário deseje alterar sua licença.

Modo de operação do OGA Aker IPS

O OGA Aker IPS possui dois modos de operação:

IPS Manager O IPS Manager é um sistema de gerência centralizado que permite a sua própria administração e dos

IPS Sensores cadastrados.

O Sistema de gerenciamento centralizado realiza o controle das configurações do sensores de IPS,

onde e possível realizar os ajustes de configurações, monitoramento dos sensores, criação de configurações

para gerenciamento dos IPS Sensor, toda a comunicação entre o IPS Manager e o IPS Sensor possui um nível

de comunicação criptografado de alta segurança.

IPS Sensor O IPS Sensor monitora o tráfego de segmentos de rede específicos e todas as suas informações de

monitoramento e eventos são enviadas para o IPS Manager para gerenciamento e análise. O sensor executa

tarefas gerenciadas pelo IPS Manager e por padrão, exibe uma visualização limitada da interface do sistema.

O modo de operação padrão setado no OGA Aker IPS é o IPS Manager.

Para definir o IPS como Sensor siga os passos descritos a seguir:

1. Acesse o menu Sistema e clique no submenu Configuração Geral.

Ogasec


28

2. Na aba Geral, acione o checkbox Sensor remoto.

Após realizado os passos acima, todos os menus e submenus serão customizados para

atuar somente como IPS Sensor.

Por padrão, os sensores exibem uma visão limitada das funcionalidades do sistema, sendo que,

apenas o Dashboard (Widgets), as opções de sistema: certificado HTTPS, Configuração Geral,

Configuração de Hora, logs do sistema, e o menu Ajuda estarão disponíveis.

Ogasec


29

Ogasec


30

3. Dashboard

O Dashboard do OGA Aker IPS foi projetado para oferecer transparência e facilidade no gerenciamento

de incidentes de sua rede.

A seguir, o seletor de ambientes. Por meio dessa opção é possível modificar a origem (IPS Manager ou

IPS sensor) dos dados exibidos nos Widgets.

O Dashboard possui duas abas de visualização. Mais detalhes sobre ambas a seguir:

Ogasec


31

A aba ntopng é exibida apenas quando o serviço estiver habilitado (Menu Sistema > Configuração

geral > aba Serviços Ativos). Por padrão este serviço estará desabilitado.

Aba Dashboard

A aba Dashboard oferece transparência e facilidade no controle de dados para os administradores do

OGA Aker IPS, permitindo que os mesmos possam configurar os Widgets de acordo com a necessidade de sua

empresa, resumindo os dados mais importantes e exibindo-os nas mais diversas opções de gráficos

disponíveis.

Por meio do Dashboard o usuário pode personalizar a exibição de diversos Widgets que serão listados

a seguir:

Ogasec


32

Lista de Widgets disponíveis no sistema.

Seletor de período de exibição dos dados dos Widgets

Uso de HD

Ogasec


33

Horário do sistema

Status dos fluxos

Ogasec


34

Taxa de transferência

Status do sistema

Uso de CPU e Memória

Ogasec


35

Total de Eventos

Total de eventos por protocolo

Total de eventos por prioridade de regra

Ogasec


36

Top 10 eventos por regra

Top 10 eventos por fluxo

Top 10 eventos por ip de origem

Ogasec


37

Top 10 eventos por ip de destino

Top 10 hits por categoria

Ogasec


38

Últimos eventos

Por meio deste widget é possível obter acesso às informações de origem e destino da conexão,

protocolo e estado da regra. Possibilitando assim, editar ou desativar a regra em questão de forma simples e

intuitiva.

Mapa

Ogasec


39

Status dos sensores

Geolocalização

Essa funcionalidade oferece uma representação visual dos eventos por países.

Por meio de um widget, localizada no Dashboard do sistema é possível obter informações dos eventos

em escala geográfica de forma intuitiva.

O widget de geolocalização oferece:

✓ Quantidade de eventos por país

✓ Exportação nos formatos: PNG, JPG, SVG e PDF

✓ Criação de anotações: permite adicionar textos e formas no mapa,

personalizando-o para exportação ou impressão.

✓ Fácil acesso à impressão.

Ogasec


40

Além dos itens descritos acima é possível criar regras de bloqueios de IP por meio de geolocalizações.

Mais detalhes a seguir.

Configurando o bloqueio de IP por Geolocalização: Para configurar o bloqueio de IP’s para determinadas localizações, siga os passos descritos a seguir:

✓ Acesse o menu Proteção > Fluxo

✓ Dentro do Fluxo desejado, clique na aba editar.

✓ Insira os países na lista de `Geo_black_list`.

✓ Clique em `Salvar` para aplicar as configurações estabelecidas.

Ogasec


41

Aba Eventos A aba “Eventos” facilita e oferece rapidez na visualização de eventos permitindo que o usuário

selecione os parâmetros de pesquisa para os eventos, podendo definir os campos: Data inicial, Data final,

Fluxo, Regra, quantidade de eventos exibido por página (Mostar), Protocolo, Origem/porta, Destino/porta,

Severidade.

A tela de eventos oferece opções para manipular e exportar os eventos. As opções são: Copiar, CSV,

Excel, PDF e Imprimir.

A aba eventos oferece acesso às capturas de pacotes (PCAP) de ataques detectados por meio das

assinaturas. Ao habilitar essa funcionalidade é possível visualizar as informações do pacote na coluna Pac.

Para habilitar a visualização dos pacotes siga os passos descritos a seguir:

• Acesse o menu Proteção > Fluxo

• Dentro do fluxo desejado, na aba Geral, habilite a opção “Log de pacotes”.

Ogasec


42

Log de pacotes: Ao habilitar essa opção será possível visualizar um detalhamento completo do evento

como exibido a seguir.

Na tela de Dashboard, clique na aba “Eventos”,

Na linha de cada evento, clique em “Abrir”.

Ogasec


43

Aba NTOPNG Esta aba redireciona o usuário para uma ferramenta de monitoramento e gerenciamento do tráfego

de redes, que possui vários recursos como: exibição de informações detalhadas por meio de gráficos,

monitoramento, geração de relatórios para os protocolos TCP, UDP, ICMP, (R) ARP, IPX, DLC, Decnet, Apple

Talk, Netbios e TCP/UDP.

A aba NTOPNG é desabilitada por padrão. Para habilitar o NTOPNG navegue até o menu “Sistema

>Configuração Geral > Aba Serviços Ativos”.

Principais recursos:

• Separação do tráfego de rede de acordo com os protocolos;

• Exibição do tráfego de rede e hosts IPv4/IPv6 ativos;

• Gravação de estatísticas de tráfego em um disco no formato RRD;

• Exibição de hosts em gráfico geográfico;

• Descoberta de protocolos de aplicações utilizando o nDPI (Framework DPI do NTOP);

• Caracterização do tráfego HTTP utilizando os serviços oferecidos pelo block.si;

• Exibição do tráfego distribuído entre os vários protocolos;

• Análise do tráfego de IP e ordenação de acordo com a origem e destino;

• Exibição o tráfego de IPs da sub-rede da matriz;

• Reportar o uso de protocolos IP separando-os por tipo de protocolo;

Ogasec


44

Login e senha de acesso padrão:

➢ Login:admin

➢ Senha:admin

Para mais informações acesse: http://www.ntop.org/products/ntop/

http://www.ntop.org/products/ntop/

Ogasec


45

4. Relatórios

O menu “Relatórios” permite que o usuário crie relatórios customizados de acordo com sua

necessidade, selecionando filtros e definindo parâmetros de procura e exibição dos relatórios.

Criando um relatório

Para cadastrar um novo relatório do tipo “detalhado” siga os passos exibidos a seguir:

➢ No menu “Relatórios” clique na opção .

A janela de cadastro de relatórios possui três abas. Preencha os campos existentes nas abas

corretamente e clique em Próximo.

Aba Relatório (Dados básicos)

Nessa aba o usuário deve define o nome para o relatório, seu tipo e limite de dados exibidos por

agrupamento. Também é possível adicionar uma breve descrição.

Mais detalhes sobre os campos dessa tela a seguir.

• Nome do relatório: insira o nome desejado para o relatório em criação.

Ogasec


46

• Tipo: selecione o tipo do relatório, Consolidado ou Detalhado.

• Limite: define a quantidade de valores que serão exibidos no agrupamento

do relatório.

• Descrição: texto descritivo que resume a função do relatório em criação.

Ao concluir o preenchimento dos campos, clique no botão .

Aba Coluna (Colunas e filtros)

Nesta aba o usuário deve selecionar quais os tipos de filtros que serão utilizados em seu relatório, os

tipos de colunas apresentadas, tamanho das tabelas e modos de exibição de conteúdo nos relatórios.

Coluna: exibe as opções de informações disponíveis para serem utilizadas na filtragem por

informações, ou exibidas no conteúdo do relatório.

Filtrar: campos de filtragem que estarão disponíveis na geração dos relatórios, permitindo gerar

relatórios específicos baseados nos filtros disponíveis.

Tamanho: tamanho do elemento na visualização da tabela para a opção selecionada, ou seja,

proporção que o campo de informação será exibido no relatório.

Por padrão a coluna “tamanho” é configurada automaticamente, aplicando proporções idênticas

para todos os elementos exibidos no relatório.

Ogasec


47

Agrupar: define se os dados da coluna selecionada serão agrupados. Ao definir o agrupamento de

dados as regras definidas abaixo serão aplicadas:

Operação de agrupamento: forma que o agrupamento será aplicado.

Exemplo: Contagem de registros.

Coluna a realizar operação: coluna que irá realizar o agrupamento, por exemplo, Sensor ID.

Ao completar a configuração das colunas clique em .

Aba parâmetros (Filtrar e salvar)

Nesta aba o usuário pode selecionar parâmetros de filtros complementares, para o relatório.

Parâmetro de pesquisa: neste campo o usuário pode selecionar um parâmetro específico para que o

mesmo seja exibido em seu relatório.

Operador: neste campo o usuário deve selecionar o operador que será usado na filtragem. A seguir as

opções disponíveis:

Ogasec


48

No campo insira o valor a ser filtrado.

Clique no botão para concluir a inserção do parâmetro.

Cabe ressaltar que, parâmetros de filtragem do tipo “Fluxo” serão exibidos do seguinte formato:

“Fluxo” igual “1”

Sendo que:

✓ Fluxo: parâmetro de filtragem;

✓ Igual: operador;

✓ 1: identificação (ID) do fluxo;

Ao preencher e configurar as abas acima corretamente, clique em .

Gerando um novo relatório

A geração de relatórios pode ser efetuada por meio das janelas “Relatórios > Criar relatórios”

(relatórios criados pelo usuário) e/ou “Relatórios > Relatórios Padrão” (modelos de relatórios padrão do OGA

Aker IPS).

➢ Por meio da janela “Relatórios > Criar relatórios”, selecione o relatório desejado e clique

em na opção “Relatório”, localizada na lateral direita da tela:

Ogasec


49

➢ Por meio da opção “Relatórios > Relatórios Padrão”, posicione o cursor sobre a opção

“Relatórios Padrão” e clique no modelo de relatório disponível.

Em seguida, preencha os campos disponíveis para filtragem do relatório e clique em ”Pesquisar”:

Para relatórios personalizados pelo usuário, os quais possuem parâmetros de filtragem pré-

definidos, não é necessário a definição de valores para os campos, como exibido na imagem acima

para o campo “Fluxo”. Caso o faça, a regra que prevalecerá, será a regra definida na geração do

relatório.

Ogasec


50

Exemplo: O relatório “X” possui parâmetros de filtragem pré-definidos para buscar informações

dos fluxos de ID 1,2 e 3. Contudo, na geração deste relatório, o usuário preencheu o campo

“Fluxo” com o ID do fluxo 1 apenas. Desta forma, o relatório seja gerado apenas com

informações coletadas do fluxo 1, descartando os parâmetros de filtragem pré-definidos.

Agendar Relatórios Este submenu possibilita a configuração de agendamentos de relatórios do sistema.

Para criar um novo agendamento de relatórios siga os passos descritos a seguir:

• Na tela de agendamento, clique em .

• O formulário abaixo será exibido. Preencha os campos corretamente e clique em

Relatório: selecione o tipo de relatório que será utilizado no agendamento. As opções disponíveis são:

Ogasec


51

Frequência: defina a frequência em que o agendamento será executado. As opções disponíveis são:

Horário de execução: defina o período de execução do relatório no formato mm/ss.

Enviar por e-mail: defina se o relatório será enviado por e-mail, ou apenas gerado no sistema.

Para que o envio por e-mail funcione é necessário que os parâmetros de configuração estejam

configurados. Para definir acesse as “Configurações de E-mail” no menu sistema.

Leia mais sobre configurações de e-mail.

E-mail: ao selecionar “Sim” no campo acima, informe o e-mail que receberá o relatório.

Sensor: selecione a fonte de dados do relatório.

Fluxo: selecione o fluxo utilizado na geração do relatório.

Ogasec


52

Visualizar Relatórios Esta tela permite que o usuário visualize, faça o download ou delete os relatórios existentes no

sistema.

Modelo de visualização de relatório do tipo “TOP 10 Ameaças por país”

As opções disponíveis de exportação são:

Ogasec


53

Relatórios Padrão Este submenu permite que o usuário selecione relatórios customizados para os tipos de eventos

exibidos a seguir:

Customização Nesta janela o usuário pode definir a logo que será exibida nos relatórios emitidos pelo OGA Aker IPS.

Preferências Nesta janela o usuário pode definir os padrões que serão usados na exportação dos relatórios em

formato TXT.

Ogasec


54

5. Proteção

Este menu permite que o usuário defina as configurações de proteção do OGA Aker IPS como: regras

que possuem as assinaturas de ataques a serem detectadas ou bloqueadas, portas, protocolos, ações, incluir

novas regras, editar ou excluir regras existentes. Importar regras pré-criadas para um grupo específico, criação

de grupos específicos de acordo com a necessidade de seu ambiente, configurar o envio de alertas de e-mails,

para quando regras específicas forem detectadas, atualização de regras do OGA Aker IPS. Definir se a

atualização será feita automaticamente ou manualmente, cadastro de lista de IPs e a criação de fluxos que são

configurações de detecção baseadas nas regras (assinaturas), políticas, modos de operação, engines de

configuração, variáveis, e outras definições de filtragem que irão coletar, analisar, armazenar e responder com

ações preventivas as atividades suspeitas.

A seguir mais informações sobre as opções deste menu:

Regras

Este submenu permite que o usuário configure, importe novas regras (regras que possuem as

assinaturas de ataques a serem detectadas ou bloqueadas, portas, protocolos, ações, etc.), e ainda permite

a criação de grupos de regras e definição dos parâmetros de configuração para a atualização do sistema.

Listagem Nesta janela o usuário pode visualizar as regras existente, incluir novas regras, editar ou excluir regras.

Ogasec


55

Para facilitar a procura utilize as opções de filtragem disponíveis: Grupo, Protocolo ou Mensagem.

Para obter uma rápida visualização das informações de uma regra específica, clique sobre a regra

desejada na coluna “Mensagem”.

Cadastrando uma nova Regra Para cadastrar uma nova regra siga os passos exibidos a seguir:

➢ Na janela de regras clique em , e preencha os campos exibidos na janela

abaixo:

Ogasec


56

Grupo: selecionar o grupo que esta regra irá pertencer;

Classtype: selecione a tipo de ataque que será analisado por essa regra. As opções disponíveis são:

Ogasec


57

SID: SID (identificação) da regra selecionada acima;

Revisão: número que define a versão desta regra, ou seja, a cada alteração efetuada neste grupo, o

mesmo receberá um novo número de revisão;

Ação: a ação que será tomada por esta regra ao detectar algum dos ataques especificados para a

mesma. As opções disponíveis são:

• Alertar: registrar os logs criando um evento;

• Bloquear: bloqueia somente o pacote, que contém alguma assinatura referida

na regra de filtragem e gera log.

Protocolo: neste campo o usuário deve definir qual o protocolo que será usado por esta regra. As

opções disponíveis são:

Origem: neste campo o usuário deve definir a entidade de origem.

Porta de Origem: neste campo o usuário deve definir a porta de origem para esta regra.

Direção: neste campo o usuário deve definir a direção do fluxo de dados. As opções disponíveis são:

Ogasec


58

-> = para o servidor;

<> = ambas as direções;

Destino: neste campo o usuário deve definir a entidade de destino para esta regra.

Porta Destino: neste campo o usuário deve definir a porta de destino para esta regra.

Mensagem: neste campo o usuário pode inserir uma mensagem para a regra. Está mensagem será

exibida no alerta ou no bloqueio desta regra.

Parâmetros:

Configurações avançadas na criação de regras de detecção.

Diversas opções são disponíveis na customização das regras como por exemplo:

PCRE: Controle de pacotes por expressão regular.

TTL: Controle do limite de vida útil do pacote.

SSL_Version: Controle de versão do protocolo SSL.

Em casos de dúvidas de outros parâmetros de customização de regras consulte a equipe de serviços.

https://www.ogasec.com/central-de-servicos

Ogasec


59

Regras padrões do sistema não podem ser alteradas, todavia, o usuário pode clonar a

regra desejada. Para isso utilize a opção localizada na parte inferior

esquerda da tela de detalhamento da regra.

Importar Nesta janela o usuário pode importar regras pré-criadas para um grupo específico.

Grupo: neste campo deve-se selecionar o grupo que receberá as regras importadas.

Arquivo: neste campo o usuário deve localizar e carregar as regras (em arquivo texto com uma regra

por linha).

Regras de assinaturas importadas por meio de arquivos não podem ser editadas. Devido à

possibilidade de incompatibilidade com o formulário de cadastro de regras, somente a visualização

de detalhamento e exclusão da regra estarão habilitados como exibido a seguir.

Ogasec


60

Para importar um arquivo, siga os passos descritos a seguir:

Clique no botão para localizar o arquivo que contém as regras a serem importadas.

Cabe ressaltar que ao importar uma nova regra com “SID” já atribuído à um regra existente, fará

com que a nova regra subscreva a regra antiga.

Ogasec


61

Importando regras Para importar uma nova regra é necessário:

➢ Selecionar o grupo desejado;

➢ Carregar o arquivo que contém as regras desejadas;

➢ Clicar em .

Grupos Nesta janela o usuário pode criar grupos de regras que facilitam o gerenciamento de regras de

filtragem do OGA Aker IPS, permitindo a criação de grupos específicos de acordo com a necessidade de seu

ambiente.

Ogasec


62

Cadastrando um novo grupo de regras

Para inserir um novo grupo de regras siga os passos exibidos a seguir:

➢ Na janela de grupos clique em , para que a janela a seguir seja exibida:

Nome: neste campo o usuário deve inserir o nome desejado para a nova regra.

Alertas por e-mail

Por meio desta janela o usuário pode configurar o envio de alertas de e-mails, para quando regras

específicas forem detectadas.

É necessário que o usuário defina as configurações gerais de envio de e-mail antes de definir as

configurações dos alertas de e-mail. Para mais informações sobre as configurações gerais de envio

de e-mail clique aqui.

Ogasec


63

Ocorrências: neste campo o usuário deve definir o número de ocorrências da regra para que o alerta

seja enviado.

Exemplo: a cada duas ocorrências da (s) regra (s) em questão um alerta será enviado;

Intervalo: neste campo o usuário deve definir o intervalo entre a ocorrência da (s) regra (s) para que

um alerta seja enviado;

Enviar e-mails para: neste campo o usuário deve inserir os e-mails que receberão os alertas.

Os e-mails cadastrados neste campo devem ser separados por vírgula (,) como exibido no exemplo

a seguir:

[email protected]; [email protected];[email protected]

Alertar para as regras: Neste campo o usuário deve selecionar quais as regras que ao serem detectadas

gerarão os alertas de e-mail.

Atualização de regras Por meio desta janela o usuário pode configurar a atualização de regras do OGA Aker IPS, definindo

se a atualização será efetuada automaticamente ou manualmente. Caso selecione o método automático, é

necessário definir o horário e a frequência que a atualização será efetuada.

O usuário pode atualizar o sistema a qualquer momento simplesmente clicando em

.

Atualizações automáticas: neste campo o usuário deve definir se o sistema efetuará suas atualizações

de forma automática ou manual. Selecione “Sim” para que a atualização seja efetuada automaticamente ou

“Não” para que a atualização seja efetuada manualmente, por meio do botão .

Ogasec


64

Repetir: neste campo o usuário deve definir a frequência em que a atualização automática do sistema

será efetuada, a seguir as opções disponíveis:

Horário de execução: neste campo o usuário deve definir o horário em que a atualização automática

será efetuada;

Políticas Este submenu permite que o usuário crie, edite ou delete modelos de configuração para ambientes

específicos, por exemplo, permitir que cada departamento de uma empresa possua políticas distintas, ou seja,

configurações de filtragem IPS distintas para cada setor:

Cadastrando uma nova Política

Para cadastrar uma nova Política siga os passos descritos a seguir:

➢ Dentro da janela de Cadastro de políticas clique em .

A janela de cadastro de políticas será exibida. Esta janela possui duas abas: Geral e Regras.

Mais informações sobre estas abas a seguir:

Aba geral

Nesta aba, o usuário deve definir o nome da política em criação, seleciona os pré-processadores e os

engines de detecção que serão usados pela mesma.

Ogasec


65

Nome da política: neste campo, o usuário deve definir o nome para a nova política.

Pré-processadores:

Os pré-processadores são componentes/plug-ins que capturam os pacotes e efetuam análises

preparando-os para o engine de detecção, efetuando modificações ou organizando os pacotes.

Os pré-processadores também são utilizados para a desfragmentação de pacotes, uma vez que uma

possível assinatura pode estar distribuída nos vários pacotes fragmentados.

Neste campo, o usuário deve selecionar os Pré-processadores que serão utilizados por esta política.

Ao preencher/definir todos os campos clique em .

A seguir, as opções de pré-processadores disponíveis:

ArpSpoof:

O pré-processador ARP decodifica pacotes ARP e detecta ataques ARP, solicitação ARP unicast, e

inconsistência de Ethernet para mapeamento de IP.

DceRpc2:

Ogasec


66

O principal objetivo deste pré-processador é fazer segmentação SMB e DCE/RPC com o objetivo de

prevenir evasão de regras usando estas técnicas.

Dnp3:

O pré-processador DNP3 decodifica protocolos DNP3, e ainda fornece opções para acessar alguns

campos de protocolo.

Dns:

O pré-processador DNS decodifica respostas DNS e pode detectar os seguintes tipos de exploração:

DNS Client RData Overflow, Obsolete Record Types, e Experimental Record Types.

Visualizações DNS no tráfego de respostas DNS sobre UDP e TCP requerem que o pré-processador

Stream esteja habilitado para decodificação TCP.

Frag3:

O pré-processador frag3 é um módulo de desfragmentação target-based IP, com técnicas anti evasão

e com rápida execução, contendo menos complexidade no gerenciamento de dados.

FtpTelnet:

Este pré-processador é uma melhoria do decodificador Telnet, ele tem a capacidade de fazer stateful

inspection, tanto em FTP quando em streams de dados Telnet. Este pré-processador irá decodificar a stream,

identificar comandos e respostas FTP, sequências de telnet e ainda normaliza o campo. Este pré-processador

funciona em solicitações do cliente e respostas do servidor.

Gtp:

O pré-processador GTP (GPRS Tunneling Protocol) é usado na comunicação de redes para estabelecer

um canal de comunicação entre GSNs (GPRS Serving Node). O pré-processador GTP oferece maneiras de

combater tentativas de intrusão as redes por meio de GTP, e facilita a detecção de novos ataques.

HttpInspect:

O pré-processador Http_Inspect é um decodificador HTTP para usuários de aplicações. Com um buffer

de dados o pré-processador HTTP Inspect irá decodificar o buffer, encontrar campos HTTP, e normalizar os

campos. Este pré-processador funciona em solicitações de clientes e respostas do servidor (client requests and

server responses).

Imap:

Este pré-processador é um decodificador IMAP4 para usuários de aplicações. Com um buffer de dados,

o pré-processador IMAP decodifica buffers e encontra comandos e respostas IMAP4. Ele marca o comando,

date header, data body section e extrai anexos IMAP4 e os decodifica apropriadamente.

Ogasec


67

Modbus:

O pré-processador Modbus é um módulo que decodifica protocolos Modbus.

Modbus é um protocolo usado em redes SCADA. Caso sua rede não possua nenhum dispositivo com

o Modbus habilitado, é recomendado que esse pré-processador permaneça desabilitado.

Pop

Este pré-processador é um decodificador POP3 para usuários de aplicações. Ao receber um buffer de

dados o pré-processador POP decodifica buffers em busca de comandos e respostas, e marca o comando, date

header, sections data body, extrai anexos POP3 e os decodifica apropriadamente.

RpcDecode:

O propósito principal deste pré-processador é efetuar SMB desegmentation e DCE/RPC

defragmentation para evitar evasões de regras usando estas técnicas.

Sfportscan:

Este pré-processador foi desenvolvido para detectar a primeira fase de um ataque de rede:

Reconnaissance (reconhecimento). Na fase de reconhecimento o atacante determina qual é o tipo de protocolo

de rede ou serviços que o alvo possui.

Sip:

Este protocolo oferece maneiras de combater vulnerabilidades e exposições comuns (CVE – Common

Vulnerabilitiesand Exposures).

Smtp:

O pré-processador SMTP é um decodificador SMTP para usuários de aplicações. Ao receber um buffer

de dados o pré-processador irá decodificar o buffer e encontrar comandos e respostas SMTP, e ainda marcará

o comando, date header, data body sections, e o TLS data.

Ssh:

Este pré-processador detecta os seguintes tipos de ataques: Challenge-Response Buffer Overflow, CRC

32, Secure CRT, e o Protocol Mismatch exploit.

SslTls:

Este pré-processador decodifica tráfegos SSL e TLS, e determina se inspeções serão feitas nestes

tráfegos. SSL é usado na porta 443 como HTTPS.

http://pt.wikipedia.org/wiki/Modbus



http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures

http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures

Ogasec


68

Stream5:

O pré-processador Stream é um módulo de reagrupamento TCP. E é capaz de rastrear sessões para

TCP e UDP.

Engine de detecção

O engine de detecção, analisa os dados nos pacotes recebidos pelo pré-processador, e verifica se existe

alguma atividade suspeita nos mesmos, utilizando regras que são lidas em estruturas ou cadeia de dados

internas, analisando todos os pacotes. Ao detectar alguma informação no pacote que corresponde a alguma

regra definida para este engine, uma ação será executada (podendo ser, bloqueio ou alerta).

Neste campo, o usuário deve selecionar os engines de detecção que serão habilitados para esta

política, e definir os valores de seus parâmetros de configuração.

A seguir, algumas configurações disponíveis no sistema:

Aba Regras

Nesta aba o usuário deve selecionar quais regras serão habilitadas para esta política, podendo

selecionar regras por Grupo, protocolo, ação e mensagem. E ainda exibir o número de regras que estão

definidas para Alertar ou Bloquear no Widget “Total de regras” localizado no lado direito da tela.

Ogasec


69

Grupo: neste campo, o usuário deve selecionar por qual grupo deseja filtrar as regras.

Protocolo: neste campo, o usuário deve selecionar o protocolo que deseja filtrar as regras.

Ogasec


70

Ação: neste campo, o usuário deve selecionar a ação que deseja filtrar as regras.

Mensagem: esta mensagem é usada para localizar as regras.

Gerenciamento de múltiplas regras.

Está opção facilita a visualização de regras e permite aplicar ações para várias regras simultaneamente.

Botões de ação individuais para as regras.

Clique neste ícone para habilitar os alertas.

Ogasec


71

Clique neste ícone para bloquear.

Clique neste ícone para rejeitar e enviar resposta TCP Reset da conexão.

Clique neste ícone para remover uma ou mais regras.

Clique neste ícone para adicionar IPs como exceções para a regra.

Whitelist por Assinaturas Essa funcionalidade oferece fácil e rápida criação de regras de exceções por assinaturas.

Ao clicar no ícone , o formulário abaixo será exibido.

Informe o fluxo e os Ips de origem e/ou destino que serão vistos como exceções por esta regra e clique

em Salvar.

Ogasec


72

Lista de IPs

Neste submenu, o usuário pode criar listas de IPs filtradas pelas políticas e regras do OGA Aker IPS, por

exemplo, criar uma Blacklist contendo IPs os quais serão bloqueados diretamente (ou seja, pacotes com

origem, que contenha algum IP definido na Blacklist serão bloqueados, sem nenhum tipo de análise), e/ou a

criação de uma Whitelist contendo IPs os quais os pacotes passarão diretamente sem nenhum tipo de bloqueio

ou análise do OGA Aker IPS, reduzindo falso-positivos.

Para criar uma nova lista de IPs, siga os passos a seguir:

➢ Na janela a seguir, insira um nome para sua lista e, no campo “Lista”, insira os IPs;

➢ Na janela de “Lista de IPs”, clique em <Salvar lista>.

Ogasec


73

Listas de IPs são selecionadas posteriormente nos campos White_list e Black_list na aba avançado

na edição de Fluxo.

Fluxo

Este submenu permite que o usuário configure fluxos que são configurações de detecção baseadas

nas regras (assinaturas), políticas, modos de operação, engines de configuração, variáveis, e outras definições

de filtragem que irão coletar, analisar, armazenar e responder com ações preventivas as atividades suspeitas.

Por meio desta tela, o usuário pode criar novos fluxos, editar, excluir e visualizar o estado do fluxo, sendo este

ou .

É recomendado que a interface de gerenciamento seja definida antes da criação de qualquer fluxo.

Ao definir a interface de gerenciamento em “Sistema > Configuração Geral > aba Geral”, a interface

definida não será exibida na criação de fluxo, desta forma, evitando que a interface de

gerenciamento seja selecionada em algum fluxo, o que pode causar perda de acesso à aplicação.

Ogasec


74

Cadastrando um novo Fluxo

Para cadastrar um novo Fluxo, siga os passos exibidos na janela a seguir:

➢ Dentro da janela de “Cadastro de fluxo” clique em .

A janela a seguir será exibida:

Aba Geral

Nesta aba, o usuário deve definir os parâmetros de configuração para os campos a seguir:

A interface de entrada do OGA Aker IPS é a Home_NET, e a interface de saída é a External_NET.

Nome do Fluxo: neste campo, o usuário deve definir um nome para o novo fluxo.

Sensor: selecione qual o sensor que será utilizado na execução deste fluxo

Modo de operação: neste campo, o usuário deve selecionar qual modo de operação que será usado

pelo fluxo em criação, as opções disponíveis são:

Ogasec


75

➢ IDS – ao selecionar esta opção, o fluxo irá detectar os ataques definidos para este fluxo,

mais não irá executar nenhuma ação de prevenção.

➢ IPS – ao selecionar esta opção, o fluxo irá detectar os ataques definidos para este fluxo,

e irá executar as ações definidas para o ataque em questão. Estas ações são: alertar e

registrar log, bloquear e gerar log.

➢ IPS em modo aprendizado – Ao selecionar esta opção, o fluxo irá funcionar da mesma

forma que o modo de operação anterior (IPS), mas não poderá executar nenhuma ação

de prevenção/bloqueio. Este modo informa ao usuário quais pacotes poderiam ter sido

bloqueados. Ele é recomendado para testes em ambientes para redução de falsos

positivos.

DAQ: Data Acquisition é modo de aquisição de dados da rede usado pelo OGA Aker IPS. Neste campo,

o usuário deve escolher qual método DAQ que será utilizado no (s) fluxo (s) do OGA Aker IPS.

As opções disponíveis são:

➢ PF Ring: este modo é um socket de rede que permite aumentar e aprimorar a

velocidade de captura de pacotes do OGA Aker IPS. Esta opção é recomendada para

redes de maior complexidade, que tenham um maior tráfego de dados.

Ao selecionar esta opção, deve-se selecionar o tipo de fluxo de rede, sendo:

• Baixo: fluxo indicado para tráfego de uma rede de pequeno porte;

• Médio: fluxo indicado para tráfego de uma rede de médio porte;

• Alto: fluxo indicado para tráfego de uma rede de grande porte;

➢ AFPacket: este modo utiliza funções do próprio kernel, desta forma, não necessita de

módulos adicionais ou programas externos. Esse modo não é indicado para redes que

possuem uma grande massa de dados trafegados, ou seja, é indicado para redes com

baixa taxa de pacotes por segundo.

Ao selecionar esta opção, deve-se definir o valor do Buffer do DAQ (em MB).

Ogasec


76

Ao utilizar o DAQ do tipo PFRing e AFPacket, as interfaces de rede funcionarão como Bridge. Sendo

assim, não será necessário configurar o IP nas interfaces de entrada e saída.

Exemplo do cálculo utilizado para definir o tamanho do buffer:

✓ O tamanho do frame é de 1518 (snaplen) + mais o tamanho do header do AFPaket

(66bytes) =1584 bytes;

✓ O número de frames é de 128 MB / 1518 = 84733;

✓ O menor tamanho de bloco que cabe em pelo menos um frame é de 4 KB = 4096 bytes

(2 frames por bloco);

✓ Sendo assim, precisamos de 84733 / 2 = 42366 blocos;

✓ O tamanho do buffer é 42366 * 4KB = 165,5 MB.

➢ NFQueue: este modo permite que o OGA Aker IPS atue em pacotes enviados

diretamente para os usuários pelo iptables/ip6tables, ou seja, atuar como um gateway

de rede. Oferecendo maior performance, possibilidade de funcionamento sem o uso

de tecnologias como roteadores, compatibilidade com ambientes em nuvem (AWS por

exemplo), uso de várias instâncias por fluxo e mais.

Esta opção é recomendada para ambientes virtualizados onde a criação de bridges não é possível.

Ao utilizar o DAQ do tipo NFQueue, as interfaces de rede não funcionarão como Bridge. Sendo assim,

será necessário configurar o IP nas interfaces de entrada e saída.

Interface de entrada: neste campo, o usuário deve selecionar a interface de entrada de sua rede.

Interface de saída: neste campo, o usuário deve selecionar a interface de saída. Essa interface é usada

para executar as medidas de prevenção (Bloquear). Esse campo fica disponível apenas para os modos de

operação IPS e IPS em modo aprendizado.

Políticas: neste campo, o usuário deve selecionar a política desejada para o fluxo em criação.

Alvo: neste campo, o usuário deve inserir o alvo, ou seja, a rede que será protegida ou um host

específico.

Ogasec


77

Syslogs remotos: neste campo, o usuário pode inserir um ou mais IPs para a transmissão de mensagens

de logs remotamente.

Log de pacotes: Ao habilitar essa opção será possível visualizar um detalhamento completo do evento

como exibido a seguir.

Na tela de Dashboard, clique na aba “Eventos”,

Na linha de cada evento, clique em “Abrir”.

Ogasec


78

Ativar Fluxo: neste campo, o usuário deve definir se este processo do módulo de detecção de intrusão

(snort) estará ativo ou inativo para esse fluxo.

Aba Avançado

Nesta aba, o usuário pode definir os parâmetros de configuração do PF RING e as variáveis do sistema.

Por meio dessa janela, o usuário pode criar suas próprias variáveis e adicionar whitelists e blacklists. Os IPs das

Whitelists e blacklists devem ser definidos previamente em listas de IPs (menu Proteção > Lista de IPs).

Ogasec


79

Sensores Esta tela oferece fácil acesso e gerenciamento dos sensores cadastrados no sistema.

É possível visualizar, editar e excluir sensores existentes e adicionar novos sensores. Também, realizar

varreduras na rede em busca de dispositivos IPS (Sensores e Managers) na rede.

Ao clicar na opção “Descobrir Sensores”, localizada na parte superior direita da tela, uma varredura

será realizada e os dispositivos IPS detectados serão exibidos como no exemplo a seguir:

A seguir mais detalhes sobre o cadastro de sensores.

Cadastro de Sensor Para adicionar um novo sensor siga os passos descritos a seguir:

• Acesso o menu Proteção e clique em Sensores.

• Na tela de gerenciamento de Sensores, clique em .

• Defina os campos descritos a seguir e clique em Salvar.

Ogasec


80

Nome: define o nome para o sensor remoto.

Token de autenticação: token de autenticação utilizado para estabelecer a comunicação entre o

sensor e seu respectivo manager. Este valor é disponibilizado em “Configuração Geral > Sensor remoto”.

Ogasec


81

Host: define o hostname ou ip do sensor.

Intervalo de sincronia: define o tempo utilizado para sincronizar os eventos do sensor remoto com o

manager em segundos.

Após cadastrar um novo sensor é necessário cadastrar o mesmo em um IPS Manager.

Os dados dos sensores são salvos no banco de dados do Manager por meio de um ID. Oferecendo

um mecanismo de restauração de dados para os sensores.

Exemplo:

O Sensor xpto, de ID 100, teve seu disco corrompido e foi necessário formatar a máquina.

Ao cadastrar esse Sensor novamente em seu IPS Manager os dados dos fluxos serão automaticamente

restaurados.

Quarentena

Esta tela oferece fácil acesso e gerenciamento aos IPs em quarentena (bloqueados).

Para criar uma nova regra de quarentena siga os passos descritos abaixo:

• Acesso o menu Proteção e clique em Quarentena.

• Na tela de gerenciamento de lista de quarentena, clique em .

• Defina os campos descritos a seguir e clique em Salvar.

Fluxo:Selecione o fluxo o que o IP deve ser bloqueado.

Endereço: Informe o endereço IP que será bloqueado para o fluxo acima e clique em

salvar.

Ogasec


82

É possível adicionar IPs à lista quarentena por meio da tela de eventos. Isso é feito por meio do ícone

like exibidos a seguir:

Ao adicionar um IP à lista de quarentena será possível ver o ícone de dislike indicando o estado.

Para removê-lo da lista de quarentena clique no ícone dislike e confirme o desbloqueio.

Ogasec


83

Leia mais sobre a tela de eventos e suas opções.

Servidores de Decriptação de pacotes SSL e TLS

Esta tela oferece fácil acesso e gerenciamento aos IPs de servidores SSLI (Inspeção de pacotes SSL e

TLS).

Ogasec


84

6. Sistema

O menu “Sistema” permite que o usuário defina as configurações de políticas, e-mail, visualize logs de

atividade de usuários no sistema, acesse o módulo de backup, configuração de certificado HTTPS, data e hora

do sistema e configuração de interface de rede.

A seguir, mais informações sobre estas opções.

Atualizações Esta opção permite que o usuário defina como a atualização do sistema do OGA Aker IPS será efetuada,

as opções disponíveis são: Automática e manual.

Atualizações automáticas:

Ogasec


85

Agendar: neste campo, o usuário deve selecionar o período que a atualização será efetuada, as opções

disponíveis são:

Horário de execução: neste campo o usuário deve definir o horário que a atualização automática será

executada.

Última atualização: neste campo é exibido a hora/data em que a última atualização foi efetuada.

Atualização de sensores: neste campo é possível visualizar os sensores e suas versões atuais, e ainda,

atualizá-los por meio da seleção do checkbox.

Enviar atualização manualmente: esta opção permite que o usuário faça o upload da atualização

desejada manualmente.

As atualizações seguem uma ordem numérica, sendo que, não é possível instalar uma versão sem

sua versão anterior aplicada.

Exemplo:

O sistema está com a versão 2.5 e o usuário deseja atualizar para a versão 2.9, sem aplicar as versões

2.6,2.7 e 2.8.

Backup Este submenu permite que o usuário efetue o backup de suas configurações atuais, ou a restauração

do sistema do Aker que pode ser usado posteriormente no processo de restauração, que será exibido no

próximo tópico. As opções disponíveis são: Criar e Restaurar.

Criar Por meio desta opção é possível efetuar a criação de um arquivo de backup das configurações atuais

do OGA Aker IPS.

Ogasec


86

Para realizar o download do Backup das configurações do seu sistema clique no botão

.

O backup salva apenas as configurações, já os eventos não serão salvos.

Restauração de Backup Esta opção permite que usuário restaure as configurações do OGA Aker IPS, por meio de um backup

previamente realizado.

Este procedimento remove toda e qualquer informação contida nas configurações em uso, salvando

apenas as configurações carregadas pelo backup.

Para efetuar a restauração por meio de um backup, é mandatório que a versão do OGA Aker IPS em

uso e a versão contida no backup sejam as mesmas, caso contrário não será possível efetuar a

restauração.

Exemplo: Versão do OGA Aker IPS contida no backup 1.0.1, e a versão do OGA Aker IPS em uso 1.0.1,

desta forma, a restauração será efetuada com sucesso. Caso uma das versões fosse 1.0.0 a restauração não

seria possível.

Ogasec


87

Certificado HTTPS Este submenu permite que o usuário carregue um certificado HTTPS que será utilizado para efetuar a

comunicação entre o OGA Aker IPS e o navegador web de forma segura.

Por padrão é utilizado um certificado auto assinado emitido para o “localhost”.

Ogasec


88

Configuração Geral Por meio deste submenu o usuário pode definir qual interface de rede será utilizada para gerenciar o

OGA Aker IPS, habilite/desabilite serviços que antes rodavam continuamente e, também, novos serviços que

foram adicionados permitindo integração com outros sistemas. O submenu Configuração Geral possui duas

abas: Geral e Serviços Ativos.

Mais detalhes sobre estas abas e suas opções a seguir.

Aba Geral

Por meio desta aba é possível definir qual interface de rede será utilizada para gerenciar o OGA Aker

IPS e modificar o modo de operação do servidor para “Sensor Remoto”.

É recomendado que a interface de gerenciamento seja definida antes da criação de qualquer fluxo.

Ao definir a interface de gerenciamento em “Sistema > Configuração Geral >aba Geral”, a interface

definida não será exibida na criação de fluxo, desta forma, evitando que a interface de

gerenciamento seja selecionada em algum fluxo, o que pode causar perda de acesso à aplicação.

Interface de gerência: selecione a interface que será utilizada na gerência do sistema.

Sensor Remoto: defina se o dispositivo será um sensor remoto ou manager.

Token de autenticação: token de autenticação utilizado para cadastrar os sensores no IPS manager.

Aba Serviços Ativos

Por meio desta aba é possível ativar ou desativar os serviços do OGA Aker IPS.

Os serviços disponíveis são:

✓ Ntopng: ferramenta de monitoramento de tráfego de redes.

Ogasec


89

✓ SNMPD: serviço responsável por atender pacotes de solicitação SNMP (Simple Network Management Protocol).

o Versões suportadas v2 e v3.

o Lista de MIBS suportadas ▪ AGENTX-MIB.txt ▪ BRIDGE-MIB.txt ▪ DISMAN-EVENT-MIB.txt ▪ DISMAN-SCHEDULE-MIB.txt ▪ DISMAN-SCRIPT-MIB.txt ▪ EtherLike-MIB.txt ▪ HCNUM-TC.txt ▪ HOST-RESOURCES-MIB.txt ▪ HOST-RESOURCES-TYPES.txt ▪ IANA-ADDRESS-FAMILY-NUMBERS-MIB.txt ▪ IANA-LANGUAGE-MIB.txt ▪ IANA-RTPROTO-MIB.txt ▪ IANAifType-MIB.txt ▪ IF-INVERTED-STACK-MIB.txt ▪ IF-MIB.txt ▪ INET-ADDRESS-MIB.txt ▪ IP-FORWARD-MIB.txt ▪ IP-MIB.txt ▪ IPV6-FLOW-LABEL-MIB.txt ▪ IPV6-ICMP-MIB.txt ▪ IPV6-MIB.txt ▪ IPV6-TC.txt ▪ IPV6-TCP-MIB.txt ▪ IPV6-UDP-MIB.txt ▪ NET-SNMP-AGENT-MIB.txt ▪ NET-SNMP-EXAMPLES-MIB.txt ▪ NET-SNMP-EXTEND-MIB.txt ▪ NET-SNMP-MIB.txt ▪ NET-SNMP-PASS-MIB.txt ▪ NET-SNMP-TC.txt ▪ NET-SNMP-VACM-MIB.txt ▪ NOTIFICATION-LOG-MIB.txt ▪ RFC-1215.txt ▪ RFC1155-SMI.txt ▪ RFC1213-MIB.txt ▪ RMON-MIB.txt ▪ SCTP-MIB.txt ▪ SMUX-MIB.txt ▪ SNMP-COMMUNITY-MIB.txt ▪ SNMP-FRAMEWORK-MIB.txt ▪ SNMP-MPD-MIB.txt ▪ SNMP-NOTIFICATION-MIB.txt ▪ SNMP-PROXY-MIB.txt ▪ SNMP-TARGET-MIB.txt ▪ SNMP-USER-BASED-SM-MIB.txt ▪ SNMP-USM-AES-MIB.txt ▪ SNMP-USM-DH-OBJECTS-MIB.txt ▪ SNMP-VIEW-BASED-ACM-MIB.txt ▪ SNMPv2-CONF.txt

Ogasec


90

▪ SNMPv2-MIB.txt ▪ SNMPv2-SMI.txt ▪ SNMPv2-TC.txt ▪ SNMPv2-TM.txt ▪ TCP-MIB.txt ▪ TRANSPORT-ADDRESS-MIB.txt ▪ TUNNEL-MIB.txt ▪ UCD-DEMO-MIB.txt ▪ UCD-DISKIO-MIB.txt ▪ UCD-DLMOD-MIB.txt ▪ UCD-IPFWACC-MIB.txt ▪ UCD-SNMP-MIB.txt ▪ UDP-MIB.txt ▪ Wellfleet-COMMON-MIB.txt ▪ Wellfleet-HARDWARE-MIB.txt ▪ Wellfleet-MODULE-MIB.txt ▪ Wellfleet-SYS-MIB.txt

Zabbix_agent: serviço responsável pelo monitoramento da performance e informação de disponibilidade do OGA Aker IPS.

O estado padrão do NTOPNG é desativado.

Ao habilitar o NTOPNG em conjunto com um fluxo ativo pode prejudicar a qualidade do tráfego de

rede.

Configuração de Hora Esta opção permite que o usuário configure os servidores NTP (Network Time Protocol), que são

utilizados para sincronizar a hora do servidor.

Ogasec


91

Controle de acesso Este menu oferece fácil acesso à tela de gerenciamento de configuração relacionados à autenticação,

perfis e usuários do sistema.

Mais detalhes sobre essas opções a seguir:

Tipo de autenticação Esta tela permite definir os parâmetros de configuração de autenticação LDAP no sistema.

Ao selecionar “Sim” os campos abaixo serão exibidos. Preencha-os corretamente e clique em “Salvar”.

Ogasec


92

Host: insira o hostname ou IP do servidor LDAP

Base DN: insira a base DN dos usuários:

Domínio: insira o domínio que os usuários pertencem.

Perfis Esta tela permite definir os parâmetros de configuração para os perfis de usuários do sistema.

Possibilitando assim, a atribuição de acessos granulares aos diversos tipos de usuários de acordo com seu

conhecimento e necessidade do negócio, por meio de perfis específicos que liberam acesso a todas ou

funcionalidades específicas do sistema.

Cadastro de Perfil Para cadastrar um novo perfil siga os passos abaixo:

• Acesse o menu “Sistema > Controle de acesso > Perfis”.

• Clique em .

• Insira uma descrição para o novo perfil (Acesso total, no exemplo abaixo).

• Clique nas funcionalidades para atribuí-las ao perfil em criação.

Ogasec


93

• Ao concluir, clique em Salvar.

Usuários Esta tela permite gerenciar os usuários do sistema.

Cadastro de usuários Para cadastrar um novo usuário siga os passos descritos a seguir:

• Acesse o menu “Sistema > Controle de acesso > Perfis”.

• Clique em .

• Preencha os campos descritos a seguir e clique em Salvar.

Usuário: informe o nome do novo usuário.

Perfil: define qual perfil de acesso o usuário pertencerá.

Login: informe o nome que será utilizado ao realizar o login do sistema.

Ogasec


94

Senha: informe a senha de acesso do usuário.

Confirmação: confirme a senha informada no campo anterior.

E-mail Nesta janela, o usuário deve configurar o servidor de e-mail pelo o qual o OGA Aker IPS deve enviar

mensagens, e também definir uma conta de e-mail que receberá notificações do OGA Aker IPS.

Para definir as configurações de e-mail, preencha os campos a seguir:

Ogasec


95

Servidor de e-mail: neste campo, deve-se inserir o endereço do servidor de e-mail que será usado para

enviar os e-mails do OGA Aker IPS.

Porta: neste campo, deve-se inserir o número da porta a qual será usada para enviar os e-mails do

OGA Aker IPS.

Autenticação: neste campo, define-se a autenticação do usuário que será solicitada ou não para baixar

o e-mail no servidor.

Método de Autenticação: neste campo, deve-se selecionar qual o método de autenticação que será

usado para que o usuário possa fazer o download do e-mail no servidor.

Usuário: neste campo, deve-se inserir o nome do usuário que receberá os e-mails do OGA Aker IPS.

Senha: neste campo, deve-se inserir a senha do usuário que receberá os e-mails do OGA Aker IPS.

Enviar e-mails de: neste campo, deve-se inserir o e-mail que será usado para enviar os e-mails do OGA

Aker IPS.

Enviar e-mails para: neste campo, deve-se inserir o e-mail que receberá os e-mails do OGA Aker IPS.

Logs do sistema

Nesta janela, o usuário pode visualizar as ações que foram efetuadas no sistema e seus respectivos

usuários, além de informações de extrema importância do sistema do OGA Aker IPS.

Ogasec


96

É possível exportar os logs do sistema por meio das opções abaixo:

Ogasec


97

7. Ajuda

O menu “Ajuda” permite que o usuário visualizar a versão do sistema, contrato e licenciamento do

OGA Aker IPS.

Licenciamento Por meio desta janela, o usuário pode visualizar as informações da licença em uso, remover e aplicar

uma nova licença no sistema.

A janela de licenciamento é exibida no primeiro acesso do usuário à interface de gerenciamento do

OGA Aker IPS.

Para mais informações sobre o primeiro acesso clique aqui.

Ogasec


98

Caso o usuário não possua uma licença, é necessário que o número da chave de hardware (R28C-RVAT-

IJ7G-WP41, exemplo acima) seja copiado e encaminhado para licenç[email protected] solicitando uma licença

para o seu hardware ou IS/VM. Ao receber a licença siga os passos a seguir (ao enviar a solicitação o usuário

receberá sua licença no período máximo de 24h).

Ao receber a licença clique em para localizar sua licença. A janela a seguir será exibida, localize

o arquivo e clique em “Abrir”.

Ao localizar o arquivo, clique no botão para carregar o arquivo ou em para limpar a

seleção e selecionar outro arquivo. Ao carregar a licença, suas informações serão exibidas como na imagem a

seguir:

Após verificar as informações de sua licença, clique no botão .

Esta janela permite que o usuário visualize as informações da licença em uso, lembrando que, ao

carregar uma nova licença, as informações serão atualizadas exibindo as informações da nova

licença que foi carregada.

Após aplicar a licença, uma janela será exibida com as informações da licença aplicada. A opção

será habilitada caso o usuário necessite alterar sua licença.

Ogasec


99

Contrato de Licença Exibe os termos do contrato de licença do OGA Aker IPS.

Sobre Esta opção exibe a versão atual do OGA Aker IPS.

Gerenciamento da conta do usuário

Esta opção fica localizada no lado superior direito da tela, e por meio dela, o usuário pode alterar sua

senha de acesso ou se desconectar do sistema.

Ogasec


100

8. Suporte a Fail-Open (Bypass)

A palavra bypass na língua inglesa quer dizer “desvio”. Em Redes de Distribuição de Energia Elétrica,

bypass é o nome dado à operação de “isolamento” de equipamentos, onde através de uma chave ou outro

dispositivo de manobra, desvia a corrente do equipamento, para tarefas de manutenção ou substituição,

provendo disponibilidade aos operadores e a continuidade do serviço, ou seja, no caso de falha no sistema

(queda de energia, ou qualquer motivo que faça o appliance ficar inativo) todo o tráfego de rede continuará

passando enquanto o appliance estiver inativo.

Vantagens:

Máxima disponibilidade do tráfego de rede, pois o bypass é ativado em situações como:

1. Queda de energia;

2. Sistema em modo de inicialização;

3. Sistema em modo de reinicialização;

5. Problemas na inicialização do fluxo (má configuração, falha no serviço...); Kernel

Panic.

Ao reinstalar o OGA Aker IPS, que estava com bypass ativado, será necessário retirar o cabo de força

da fonte de energia, pois o estado físico das placas de rede estarão com bypass ativado. Desta forma,

ao retirar o cabo de energia, o mesmo retornará ao estado padrão de fábrica (desinstalado).

Para visualizar todas as opções de configuração, via interface de texto execute o comando “bypass ou

bypass ajuda“.

.

Ogasec


101

➢ Instalando o Bypass

Para instalar o Bypass execute o comando abaixo:

#bypass instala

➢ Desinstalando o Bypass

Para desinstalar o Bypass execute o comando abaixo:

#bypass desinstala

➢ Configurando o Bypass

Para configurar o Bypass é preciso partir de alguns pré-requisitos, como entender a lógica dos slots

(gavetas) para interfaces de rede, seus possíveis pares de bypass e ter em vista que as interfaces de redes

estão ordenadas.

A seguir, será exemplificado uma configuração para o OGA Aker IPS 5000 (appliance de 2U com 8 (oito)

interfaces de rede 1GigabitEthernet e mesma quantidade para interfaces de rede 10GigabitFibra).

Analisando a imagem do appliance acima, percebe-se que o equipamento não possui interfaces de

rede on-board com bypass, desta forma, iremos apenas configurar os pares de bypass para as interfaces

1GigabitEthernet, ou seja, as que estão no slot 5.

Execute o comando listado abaixo e siga os passos exibidos na imagem a seguir:

#bypass configura

Ogasec


102

Ao executar o comando “bypass configura”, o programa inicia com a pergunta “Deseja configurar o

bypass nas interfaces OnBoard?”.

Neste caso, como não existem bypass na interface OnBoard, porque ela é única, colocamos “N” para

NÃO.

Após isso, o programa assume que a configuração será nas interfaces OffBoard e já apresenta os slots

que possuem bypass integrado. Além disso, ele pede para informar o número do slot que será configurado.

Neste exemplo foi utilizado o slot 5, como exibido na imagem acima.

Outra informação que ele precisa é o número de portas no módulo de interfaces de rede e, por último,

o nome da primeira interface. Como foi informado que o slot possui 8 portas, então o programa irá configurar

Ogasec


103

4 pares de bypass, iniciando uma configuração automática a partir da primeira interface que foi informada, ou

seja, como a primeira interface informada foi “eth0”, o programa, então, configurou os pares eth0 <> eth1,

eth2 <> eth3, eth4 <> eth5 e eth6 <> eth7.

Uma confirmação que ele faz para verificar se o par está correto é o desligamento dos leds das

interfaces de rede que correspondem ao par configurado.

O primeiro par logicamente é o inferior esquerdo, seguido do inferior direito, depois superior esquerdo

e, por último, superior direito.

No entanto, para realizar a configuração, o primeiro par será o superior esquerdo, seguido do superior

direito, depois inferior esquerdo e, por último, inferior direito.

Portanto, o primeiro par a ser configurado será o par 3, ou seja, eth0 <-> eth1. E será possível verificar

os leds indicadores apagam.

Por fim, uma mensagem informando que a configuração aplicada com sucesso será exibida, e uma

nova pergunta será apresentada para o caso de o usuário queira configurar um novo slot.

➢ Visualizando o estado do bypass

Para visualizar o estado do bypass execute o comando abaixo:

#bypass status

Ogasec


104

Na imagem acima, a configuração do bypass foi efetuada, contudo, nenhum par de bypass foi ativado,

por isso estão todos com o estado “desativado”.

➢ Ativando e desativando o bypass.

Para ativar o bypass execute o comando abaixo:

#bypass ativa (par que será ativado)

Exemplo: bypass ativa 1 2

No exemplo acima, “1 2” representam os pares de bypass 1 (eth4 <> eth5) e bypass 2 (eth6 <> eth7).

Para desativar o bypass execute o comando abaixo:

#bypass desativa (par que será desativado)

Exemplo: #bypass desativa 1

➢ Limpando as configurações do bypass

Para limpar todas configurações presentes no serviço de bypass execute o comando abaixo:

#bypass limpa (para limpar todas as configurações)

#bypass limpa onboard (para limpar somente os slots onboard)

#bypass limpa onboard 1 (para limpar somente as configurações do slot onboard de número 1)

Ogasec


105

#bypass limpa offboard (para limpar somente os slots offboard)

#bypass limpa offboard (para limpar somente as configurações do slot offboard de número 1)

A seguir modelos de appliance que suportam o bypass:

Devido às características específicas do appliance acima, o último par não possui bypass como exibido

na imagem.

➢ Configurando e desinstalando o bypass ssli.

Para que o equipamento monitore as interfaces onde ocorre a inspeção ssl e ative o bypass nos fluxos,

execute o comando abaixo:

#bypass ssli configura

Exemplo:

Realizando a configuração acima, caso uma das interfaces informadas perca conectividade, os pares

de bypass indicados serão ativados automaticamente. Quando as interfaces monitoradas possuírem

conectividade novamente, o bypass será desativado pelo IPS.

Ogasec


106

Para que o equipamento pare de monitorar as interfaces onde ocorre a inspeção ssl, execute o

comando abaixo:

#bypass ssli desinstala

Exemplo:

Após realizar o comando acima nenhuma interface SSLi será monitorada.

Ogasec


107

9. akrescue

Visando oferecer maior segurança e eficiência no sistema de backup e restauração, atualização de

versão, o OGA Aker IPS a partir da sua versão 2.0, oferece por meio do comando “akrescue”, funcionalidades

tais como: atualização do sistema para versões posteriores e compatíveis, restauração do sistema para os

padrões de fábrica ou para um ponto de configurações específicas, salvas em um pen drive de recuperação, e

ainda, a função snapshot, que permite a criação de pontos de restauração do sistema, e rollback, desfazendo

a última atualização efetuada no sistema.

A seguir, mais detalhes sobre estas funcionalidades.

Pen-Drive de recuperação

A criação do Pen-Drive de recuperação é efetuada por meio do comando “akrescue_device”. Desta

forma, o administrador pode utilizar o Pen-Drive para reinstalar o produto, deixando-o com as configurações

previamente salvas.

É necessário que o Pen-Drive tenha no mínimo 8 GB de espaço, e esteja formatado em FAT32.

A seguir, o passo a passo para criação de um Pen-Drive de recuperação:

➢ Conecte o pen-drive no Box;

➢ Acesse a interface de texto do OGA Aker IPS;

➢ Execute o comando:

akrescue_device <device>

Sendo que, <device> é o caminho para o dispositivo externo.

Exemplo: akrescue_device /dev/sdb

Em seguida, aguarde a finalização do processo.

Rollback por meio do Pen-Drive de recuperação

Para efetuar o rollback por meio do Pen-drive de recuperação siga os passos a seguir:

➢ Conecte o Pen-Drive, contendo o ponto de recuperação desejado no Box do OGA

Aker IPS.

➢ Reinicie a máquina e modifique a BIOS para que a inicialização (boot) seja efetuada

no Pen-Drive.

Aguarde até que o processo seja concluído, e a máquina seja reinicializada.

Ogasec


108

Restauração do sistema para os padrões de fábrica

A restauração do sistema para os padrões de fábrica pode ser efetuada por meio de intervenção

externa (botão de reset no Hardware com suporte para esta ação) ou por meio do comando “akrescue”. Ao

executar a restauração, todas as configurações e atualizações serão excluídas no processo deixando apenas as

configurações de fábrica.

Esta operação é irreversível.

Para restaurar o sistema para os padrões de fábrica utilize o comando abaixo:

akrescue restore

Aguarde a conclusão do processo de restauração e a reinicialização do sistema.

Os logs da restauração ficam armazenados na pasta “/”.

Snapshot Por meio desta funcionalidade é possível criar pontos de restauração do sistema, ou restaurar o

sistema para um ponto anterior, ou seja, um estado anterior do sistema.

A seguir os comandos para utilização do snapshot:

Para criar um novo ponto de restauração do sistema utilize o comando a seguir:

akrescue snapshot take

Para restaurar o sistema para o ponto de restauração anterior utilize o comando a seguir:

akrescue snapshot restore

Sistema de atualização de versão; Maior segurança e eficiência no sistema de atualização de versão do OGA Aker IPS.

Por meio desta funcionalidade, o administrador pode efetuar a atualização do sistema para versões

posteriores e compatíveis ou efetuar um rollback, desfazendo a última atualização efetuada no sistema. Em

ambas ações, atualização e rollback, as configurações serão convertidas, caso compatíveis, e a ordenação das

interfaces do IPS serão mantidas para que não haja perda de conectividade após efetuar uma atualização ou

rollback.

Ogasec


109

Ao restaurar ou atualizar o sistema do OGA Aker IPS utilizando esta ferramenta, fará com que logs e

eventos desnecessários sejam excluídos.

Atualização A seguir, o passo a passo para efetuar a atualização do OGA Aker IPS:

Premissas:

➢ Efetue o download do arquivo de atualização no site da Aker;

➢ Carregue o arquivo para dentro do OGA Aker IPS (utilizando o software winscp,

por exemplo);

Com as premissas acima atendidas execute o comando descrito a seguir:

akrescue upgrade <diretório> <opção de rollback>

Opções de rollback:

1 – para habilitar o rollback automático, caso algum erro ocorra durante o processo.

0 – para desabilitar o rollback automático.

Exemplo:

akrescue upgrade /tmp/arquivo 1

Rollback

O Rollback permite restaurar um ponto anterior do OGA Aker IPS, ou seja, restaurar o sistema para

configurações válidas, previamente salvas por meio de um snapshot ou no Pen-drive de recuperação.

A seguir, o comando utilizado para efetuar o rollback no OGA Aker IPS:

akrescue rollback

Rollback por meio do Pen-Drive de recuperação

Para efetuar o rollback por meio do Pen-drive de recuperação, siga os passos a seguir:

➢ Conecte o Pen-Drive com o ponto de recuperação desejado no hardware.

➢ Reinicie a máquina e modifica a BIOS para que a inicialização (boot) seja efetuada

no Pen-Drive.

➢ Aguarde até que o processo seja concluído, e a máquina seja reinicializada.

http://www.aker.com.br/produtos/aker-ips/atualizacoes-aker-ips/

Ogasec


110

Sintaxe do comando.

akrescue help

Uso: akrescue upgrade <diretorio> <1|0>

akrescue rollback [abort]

akrescue restore

akrescue snapshot <take|restore>

akrescue help

upgrade: Atualiza o sistema.

Recebe como parâmetro o diretório onde se encontram os arquivos de atualização do sistema e a

opção de rollback automático:

1 - Habilita o rollback automático.

0 - Desabilita o rollback automático.

rollback: Desfaz o último upgrade efetuado.

abort - Cancela um rollback que foi agendado pelo comando upgrade

restore: Reinstala o produto com os padrões de fábrica.

snapshot: Cria/restaura um ponto de restauração do sistema.

take - Cria um ponto de restauração do sistema.

restore - Restaura o sistema para um ponto de restauração já criado.

help: Mostra esta mensagem.

Ao restaurar/atualizar o sistema com esta ferramenta, todos os logs/eventos e arquivos que não são

necessários para o bom funcionamento do produto serão perdidos.

Lista de comandos disponíveis para a interface de texto do OGA Aker IPS

Neste tópico são exibidos os comandos disponíveis para a Interface de texto do OGA Aker IPS.

➢ akhwsig – este comando exibe a chave de hardware.

Ogasec


111

➢ nmtui – módulo de gerenciamento de rede avançado, utilizado para realizar a

configuração de VLANs e demais configurações de rede avançadas.

➢ interface ou akinterface – por meio deste comando é possível definir os

parâmetros de configuração da interface de rede do OGA Aker IPS. Assim, é

possível definir os parâmetros das interfaces de rede (IPS, máscara, gateway),

configurar servidores DNS, hostname e configurar a ordem das interfaces de

rede.

Para mais informações sobre os passos para configurar interfaces de rede no OGA Aker IPS clique

aqui.

➢ aklcd_install – por meio deste comando é possível instalar o LCD do OGA Aker

IPS.

Execute o comando, em seguida, selecione o modelo do OGA Aker IPS Enterprise Box.

Cabe ressaltar que, por padrão, a instalação do LCD é efetuada na instalação do produto.

Ogasec


112

➢ aklcdc – por meio deste comando é possível exibir mensagens no display LCD de

seu hardware. As opções disponíveis são:

0 - Estatísticas de CPU, Memória e Rede (via fwmachined)

1 - Mensagem de reboot

2 - Mensagem de aplicação de patch

3 - Mensagem de rollback

4 - Mensagem de checagem de HD

5 - Mensagem de correção de HD

6 - Mensagem de HD com problema

7 - Mensagem de shutdown

8 - Mensagem de cluster split brain

9 - Mensagem de upgrade

10 - Mensagem de restore

➢ bypass – por meio deste comando é possível habilitar e configurar o suporte a

Fail-Open. Para mais informações clique aqui.

➢ akrescue – por meio deste comando é possível configurar as opções do sistema

de backup e restauração, atualização de versão, o OGA Aker IPS 2.0. Para mais

informações clique aqui.

➢ Syslog_relay – por meio deste comando é possível realizar o envio de logs do

sistema via syslog.

ipsappliance/bin # syslog_relay

Usage:

php syslog_relay --action=add|remove --protocol=tcp|udp --

address=address --port=port php syslog_relay --action=d

Ogasec


113

10. Vmware

Como alterar o tipo de interface de rede no VMware para uso no OGA IPS

Por padrão ao adicionar uma interface na VMware ele configura como E1000 ou E1000e, mas em

alguns casos este tipo de configuração não é compatível com o sistema operacional a ser utilizado.

Por exemplo, depois de alguns testes, foi constatado que por estar com a configuração E1000 a

navegação e a rede apresentam certa lentidão. Após realizar a troca para VMxNet3 a rede e a navegação

retorna ao normal.

O OGA IPS suporta o VMware ESXi a partir da versão 5.5;

Configurando novas interfaces no VmWare Ao conectar na VmWare clique com o botão direito do mouse na máquina virtual a ser alterada e

entre nas configurações, conforme apresenta a imagem abaixo:

Caso seja necessário realizar a troca do tipo de interface remova a anterior:

Ogasec


114

Para criar uma nova interface com as configurações sugeridas neste documento, clique no botão ‘Add’:

Escolha o item que irá adicionar, neste caso, a interface de rede clique em ‘Next’:

Ogasec


115

Na próxima tela, escolha o tipo de interface que utilizará:

(Escolha a VMXNET3 e clique em ‘Next’)

Na próxima tela serão confirmados o hardware adicionado, o tipo de adaptador e outras

configurações.

Ogasec


116

Adicionando a interface VMxNet3, as configurações seguirão o uso normal do virtualizador.

As interfaces pertencentes aos fluxos de IPS/IDS devem estar com o modo promiscuo habilitado;

Para configurar as interfaces em modo promiscuo deve-se ir até as configurações do switch virtual do

vmware ESXi como nas imagens a seguir.

Ogasec


117

Segue explicação sobre os tipos de interface.

Adaptadores de rede disponíveis

Apenas os adaptadores de rede que são apropriados para a máquina virtual a qual você está criando

estão disponíveis na janela da Rede escolhida.

Vlance: É uma versão emulada do AMD 79C970 PCnet32- LANCE NIC, e é uma versão antiga do NIC 10

Mbps com drives disponíveis para quase todos sistemas operacionais convidados de 32-bit, exceto Windows

Vista ou versões posteriores. Uma máquina virtual configurada com este adaptador de rede pode usar sua

rede imediatamente.

VMXNET: O adaptador de rede virtual VMXNET não possui uma versão física.

O VMXNET é aprimorado para fornecer maior performance em máquinas virtuais, porque os sistemas

operacionais convidados dos fornecedores não oferecem drivers embutidos para esta placa, sendo assim, você

deve instalar o VMware Tools para ter um driver para o adaptador de rede VMXNET disponível.

Flexible: O adaptador de rede Flexible se identifica com um adaptador Vlance quando uma máquina

virtual faz o boot, mas ele se inicia juntamente com suas funções como uma Vlance ou como um adaptador

VMXNET, dependendo do driver o qual o inicializou. Com o VMware Tools instalado, o driver do VMXNET altera

o adaptador Vlance para o adaptador VMXNET de maior performance.

Ogasec


118

E1000: É uma versão emulada do Intel 82545EM Gigabit Ethernet NIC. Um driver para este NIC não é

incluso com todos os sistemas operacionais convidados. Tipicamente as versões Linux 2.4.19 e versões

posteriores, Windows XP Professional x64 ou versões posteriores, Windows Server 2003 (32-bit) e versões

superiores incluem o driver E1000.

Nota: O E1000 não suporta Jumbo Frames antecessores ao ESXi/ESX 4.1.

E1000e: Este recurso emula um novo modelo do Intel Gigabit NIC (número 82574) no hardware virtual

(Este e conhecido como vNIC “E1000e”). O E1000e está disponível apenas em máquinas virtuais com Hardware

versão 8 (e versões mais novas) no vSphere 5. Ele é o vNIC padrão para Windows 8 e versões mais novas do

Windows.

Para Linux o E1000e não está disponível na Interface do usuário (O “E1000”, VMXNET Flexible, VMXNET

Enhanced, e VMXNET3 estão disponíveis para Linux).

VMXNET 2 Enhanced (versão aprimorada): O adaptador VMXNET 2 é baseado no adaptador VMXNET,

mas ele oferece alguns recursos de alta-performance comumente usados em redes modernas, como o Jumbo

Frames e o Hardware offloads. Este adaptador de rede virtual está disponível para alguns sistemas

operacionais convidados no ESXi/ESX 3.5 ou versões posteriores.

O VMXNET 2 é suportado apenas para os sistemas operacionais convidados abaixo:

Versões 32- e 64-bit Microsoft Windows 2003 (Enterprise, Datacenter, e Standard Editions) .

32-bit version of Microsoft Windows XP Professional

32- and 64-bit versions of Red Hat Enterprise Linux 5.0

32- and 64-bit versions of SUSE Linux Enterprise Server 10

64-bit versions of Red Hat Enterprise Linux 4.0

64-bit versions of Ubuntu Linux Na atualização do ESX 3.5 versão 4 ou superior, estes sistemas

operacionais também são suportados:

Microsoft Windows Server 2003, Standard Edition (32-bit)

Microsoft Windows Server 2003, Standard Edition (64-bit)

Microsoft Windows Server 2003, Web Edition

Microsoft Windows Small Business Server 2003

Jumbo Frames não são suportados no Sistema Operacional Solaris para VMXNET2.

VMXNET3: O adaptador VMXNET3 é uma nova geração de um NIC Para virtualizado que foi

desenvolvido para alta performance, e não é relacionado ao VMXNET ou VMXNET2. Ele oferece todas os

Ogasec


119

recursos disponíveis no VMXNET2, e adiciona vários recursos novos como o suporte à multi filas (também

conhecido como Receive Side Scaling no Windows), IPv6 offloads, e MSI/MSI-X interrupt delivery.

VMXNET3 é suportado apenas para máquinas virtuais de versão 7 ou posteriores, com uma lista

limitada de sistemas operacionais:

32- and 64-bit versions of Microsoft Windows 7, XP, 2003, 2003 R2, 2008, 2008 R2, and Server 2012

32- and 64-bit versions of Red Hat Enterprise Linux 5.0 and later

32- and 64-bit versions of SUSE Linux Enterprise Server 10 and later

32- and 64-bit versions of Asianux 3 and later

32- and 64-bit versions of Debian 4

32- and 64-bit versions of Ubuntu 7.04 and later

32- and 64-bit versions of Sun Solaris 10 U4 and later

No ESXi/ESX 4.1 e versões anteriores, Jumbo Frames não são suportadas no sistema operacional Solaris

para VMXNET 2 e VMXNET 3. O recurso é suportado (começando com o ESXi 5.0) apenas para o

VMXNET 3.

Tolerância a Falhas não é suportado em uma máquina virtual configurada com um vNIC VMXNET3 no

vSphere 4.0, mas tem suporte completo no vSphere 4.1.

O Windows Server 2012 e suportado com o VMXNET 3 na atualização ESXi 5.0 versão 1 ou superior.

Adaptador Caveats

O Jumbo frame é suportado pelo VMXNET 3 na atualização ESXi 5.0 v1 ou superior.

Para mais informações sobre sistemas operacionais convidados, acesse o VMware Compatibility

Guide.

Ogasec


120

11. Interceptação de pacote SSL e TLS

Dispositivos de segurança tradicionais têm a capacidade de inspecionar o tráfego HTTP, no entanto,

esses dispositivos não podem inspecionar o tráfego SSL ou criptografado sem incorrer em recursos pesados

da CPU. Esta funcionalidade limitada dispositivos de segurança tradicionais é uma preocupação, pois o volume

de tráfego criptografado está aumentando e é esperado para ultrapassar o volume de tráfego não

criptografado. Considerando a imensa possibilidade de ameaças cibernéticas propagando através do tráfego

criptografado, é essencial que as organizações configurem seus dispositivos de segurança para inspecionar o

tráfego criptografado e não criptografado.

A solução para descriptografar o tráfego SSL, que pode ser descriptografado analisada por um

dispositivo de segurança. Como as funções de criptografia e descriptografia são executadas pelo SSLi

dispositivo, há latência mínima na rede.

A solução de descriptografia de SSL pode detectar e descriptografar criptografia em protocolos TCP

não proprietários, realizando analise de pacotes com destino a redes internas ou externas. A descriptografia

de SSL é implementável de várias maneiras diferentes, personalizável para o seu ambiente de rede, com adição

de HA. A descriptografia de SSL também é escalonável para abordar requisitos de uma organização em

expansão.

Para mais informações consulte a central de serviços.

https://www.ogasec.com/central-de-servicos

Documents

OGA Aker IPSdownload.aker.com.br/prod/current/manuais/aker-ips/aker... · 2019-06-11 · Ogasec Brasília/DF CEP: 70750-650 Tel./Fax: (61) 3038-1900 5 1. Introdução Seja bem-vindo