Funções de Acesso e Configuração

O acesso aos WIPs é possível com SSH ou caso desejado por TELNET. Todos os aplicativos de monitoramento funcionam na sessão SSH. Os gráficos serão acessados com navegador.

Existem níveis diferentes de acesso que serão explicados e sugeridos detalhadamente mais para frente em CONSIDERAÇÕES de ADMINISTRÃO.

No /etc/rc.conf podem ser definidos uma série parametros de acesso. Por padrão os WIPs não permitem o acesso remoto ao menos que seja liberado no rc.conf

support_access="YES"

support_access_source="200.152.83.190, 200.152.83.36"

e os IPs permitidos. Estes IPs tem acesso ssh ao servidor.

Ainda pode ser liberado o trafego ICMP para certos endereço de origem caso necessário conforme o exemplo:

icmp_enable="YES"

icmp_source="200.152.83.1, 200.152.83.129"

No parametro icmp_source devem constar os endereço quais são permitidos a disparar um "ping" e receber o echo "pong". Caso queira pingar a partir do WIP os endereços IP de uma certa subrede deve ser incluido o IP da Interface conectada a esta subrede e eventualmente o alias dessa Interface.

Modo e Hierarquia de Interceptação de pacotes

O WIP-Control intercepta os pacotes a nivel IP na seguinte seqüência:

1. permite acesso próprio ao Loopback
2. permite o support_access
3. nega acesso total aos Ips não usados e bloqueados temporariamente
4. limita a banda por IP
5. coleta informações de uso de banda
6. intercepta e inicia package forward para o proxy transparente
7. bloqueia RFC1918
8. bloqueia tentativas de Spoofing
9. bloqueia uma séria de protcolos desnecessários
10. possibilita o acesso a servidores WEB etc conforme desejado
11. impossibilita o acesso externo aos IPs internos
12. permite o acesso ao recursos legitimos (tcp:21,22,23,25,80,110 etc)
13. bloqueia portas de trafego ilicito conhecido (ataques, worms, etc)
14. libera qualquer outro trafego

O WIP-Central possui praticamente os mesmos passos para controlar trafego IP, analisa antes porém o trafego LAYER2 - o nível BRIDGE. Esta característica é necessário para manter pares fixos de MAC e IP, impossibilitando de que o cliente final troca as configurações IP da sua máquina. Esta opção pode ser desabilitada no /etc/rc.conf com:

macfilter_enable="NO"

passando dessa forma qualquer trafego através da interface "OMNI".

Protocolos suportados e Portas liberadas por padrão

Os WIPs por padrão permitem o trafego de TCP, UDP e caso liberado pelo administrador ICMP.

A pesar de que ICMP (ping) é muito usado para testar a disponibilidade de um IP qualquer consideramos o protocolo totalmente desnecessário para uma rede Internet. Caso porém não possa viver sem ele mantém a configuração bem restrita e não abre o "Ping geral". Programas de File-Sharing tipo Kazaa etc disparam grandes quantidades de ICMP que pode somar uma valor de banda considerável.

Referente o trafego TCP e UDP existem algumas restrições de portas conhecidas como ataques Internet. As portas barradas dificilmente interferem na operação normal mas caso existe alguma suspeita facilmente pode abrir o trafego de saída com os parametros explicados no rc.conf para ver se isto resolve. Caso precisar pode abrir certas portas com parametros específicos no rc.conf para IPs específicos para não comprometer a rede toda.

Todo trafego de broadcast praticamente está fechado para evitar congestionamento da rede ou uso abusivo de banda desnecessária.

Protocolos específicos permitidos atualmente são estes sendo usados mais frequentemente por alguns programas de VPN ou aplicativos específicos:

GRE Encapsulação Generica de Roteamento

ESP Encapsulação Security Payload

IPIP Encapsulação de IP em IP

Caso precisa de outros consulte o nosso suporte, fica realmente fácil de abrir o trafego para outros protocolos. Especialmente em caso de utilização do módulo BGP ou caso a sua empresa ou um dos seus clientes usa OSPF, RIP ou EIGRP pode ser necessário de abrir outros protocolos.