Resumo:
Este procedimento permite configurar Link Dedicado com IP fixo e que não necessita de autenticação, como por exemplo Speedy Business, Frame Relay, LP de Dados, etc.

Procedimento:
1. Para configurar o BRMA com conexão Speedy ou com outro tipo de link dedicado, primeiramente você deve ter em mãos as seguintes informações: IP, GATEWAY e MÁSCARA do link dedicado. Neste exemplo, vamos dar as seguintes configurações para essas informações:

IP=200.214.47.168
GATEWAY=200.214.47.1
MÁSCARA=255.255.255.192

2. Tendo essas informações, entre na porta de administração do BRMA e vá no menu de "Configurações >> Rede >> Network". Configure o arquivo como abaixo:

NETWORKING=yes
HOSTNAME=brma.seudominio.com.br
GATEWAY=200.214.47.1 (Gateway do link)

3. Vá no menu "Configurações >> Rede >> Placas de rede, caso já tenha a 2ª placa de rede instalada (eth1) em seu computador, configure a eth1 da seguinte maneira:

IPADDR=200.214.47.168 (IP do link)
NETMASK=255.255.255.192 (Máscara)
BOOTPROTO=static
ONBOOT=yes

4. Feito isso, volte à tela de configurações de Placas de Rede, aplique as mudanças e vá em Firewall e mude a opção de Device de Entrada para eth1, que é a sua placa de rede.

Pronto seu link já está configurado.

Resumo:
Este procedimento permite configurar o servidor com conexão do Virtua que trabalha com IP dinâmico.

Procedimento:
1. Para fazer a configuração do BRMA com o Virtua você deve configurar a placa de eth1 para buscar as informações TCP/IP automáticamente (dhcp), para isso basta você clicar nas Configurações de rede da eth1 que deve conter somente os seguintes campos:

DEVICE=eth1
BOOTPROTO=dhcp
ONBOOT=yes

2. E no ítem "Configurações >> Rede >> Network" não é necessário ter o campo GATEWAY.

Feito essas configurações, basta reiniciar o servidor e verificar se a placa eth1 carregou perfeitamente.

Obs.: Caso a placa não consiga pegar o IP automaticamente, será então necessário ligar para o Suporte Técnico do Virtua, pois terá que ser feita uma liberação no seu link devido ter mudado de Sistema Operacional.

Resumo:
Este script está apenas liberado para as placas "D-Link DWL-510", "D-Link DWL-G520+" e "EDIMAX (Realtek 8180)".   Orinoco e outras placas terão que ser adicionadas, por enquanto, utilizando os procedimentos antigos, sempre utilizando como configurador o iwconfig.

Obs2: Não remover o wireless-tools nas versões 4.0-x.

Procedimento:

1. No console do servidor baixe o arquivo atualizado no diretório /root:

[root@brma root]# wget https://www.brmultiaccess.com.br/BRL/2.0/brma_wireless-0.3.tgz 

Procedimento:
Primeiramente verifique se as configurações do Client no item VPN estão corretas. Maiores detalhes consulte o menu AJUDA.

2. Crie duas regras no firewall permitindo a entrada da rede interna para o IP Local (definido nas configurações do Client VPN), selecionando o device como TODAS, como no exemplo abaixo:

IP/Máscara de Origem: 192.168.0.0/255.255.255.0
IP/Máscara de Destino: 192.168.0.210/255.255.255.255       
Protocolo: TCP
Porta de Origem: Portas altas
Porta de Destino: 110
Device: Todas

Adicione mais uma regra, como a acima, para a porta 25.

3. Crie um grupo para a liberação do recebimento e envio das mensagens como abaixo e inclua o usuário que se conectará via VPN.

REGRA: Permite entrada BRMA
DESTINO: IP_local (definido nas configurações do Client VPN)
MÁSCARA: 255.255.255.255
PORTA: 110

Adicione mais uma regra, como a acima, para a porta 25.

4. Configure agora o programa de correio:

Emails de Entrada (POP3)= IP_local (definido no Client VPN)
Emails de Saída (SMTP) = IP_local (definido no Client VPN)

Resumo:
Segue abaixo procedimento para criação de túnel entre servidores BRMA e Lynksys.

OBS: Apenas para BRMA 3.8.

Procedimento:

VPN servidor/servidor

Significa montar uma rede privada (ligar duas redes ou mais) utilizando o meio público (internet) ao invés de contratar serviços caros, como redes particulares tipo ponto a ponto, eliminação de custo alto é a principal motivação para a utilização uma vez que a internet alcança qualquer parte do mundo e o mais importante, fornece acesso local que significa acesso barato. A VPN irá criar todo um sistema de roteamento entre dois ou mais pontos (rede locais) utilizando a internet como meio físico e para garantir a segurança também é implementado um módulo de criptografia dos dados que no caso da VPN do BRMA começa em 512 bits e pode alcançar até 2048, com isto a empresa poderá trafegar suas informações com tranquilidade pois tudo que trafegar entre os pontos de VPN não ficará vulnerável aos usuários da internet.

Configurando a VPN servidor/servidor > BRMA + Linksys

Para implantar esta modalidade é necessário ter um BRMA com módulo de VPN, desta forma pode-se começar a configurá-las através do menu do BRMA.

O BRMA possui um modo simplificado de configuração da VPN, sem grandes conhecimentos o administrador pode levantar a conexão VPN entre as redes, basta seguir o Script que se inicia após clicar sobre a opção "VPN-WIZARD".

A primeira pergunta que o instalador faz é a seleção do peso da criptografia desejada, a primeira opção é de 512 bits, pode se estender até 2048, dependendo da opção selecionada vai precisar de muito processamento local para efetuar a criptografia dos dados, 512 bits de criptografia já é considerada uma opção bem forte!

Se houver dúvida a respeito de qual máquina utilizar entre em contato conosco, www.brc.com.br

No próximo passo o BRMA solicitará o nome dos túneis a serem criados, leia com atenção o enunciado do modo "WIZARD" e preencha os campos onde o BRMA colocou sua sugestão.

Atenção para o preenchimento destes campos, pois os nomes ali colocados "matriz.seudominio.com.br" e "filial.seudominio.com.br", são os nomes dos túneis então "matriz" e "filial" são sugestões, poderiam ser trocados por "saopaulo" e "rio" por exemplo, outro detalhe importantíssimo é o uso correto dos domínios na hora da criação da VPN.

Vamos imaginar então que São Paulo possui um BRMA com o domínio brc.com.br e Rio de Janeiro um Linksys com o domínio brmultiaccess.com.br, os nomes das VPNs deverão ficar assim:

saopaulo.brc.com.br e rio.brmultiaccess.com.br

Nota: os domínios de cada localidade foram repeitados, claro que podem haver casos que ambos os servidores BRMA tenham o mesmo domínio.

Agora o BRMA irá perguntar qual o endereço dos GATEWAYS de internet (IP Válido), na ponta onde estamos criando a VPN já está preenchido corretamente, só é necessário indicar o Gateway do servidor Linksys de destino.

Em hipótese alguma os endereços das redes locais que irão pertencer a VPN podem ser iguais, a VPN não irá funcionar se por acaso a rede de São Paulo possuir o endereçamento 192.168.0.0/255.255.255.0 e a rede do Rio também possuir este mesmo endereço, deste modo uma das redes deve ter o endereço de rede trocado por exemplo para, 192.168.1.0/255.255.255.0

Informe então qual o endereço da rede local do BRMA de destino, a origem ja estará com o campo preenchido.

No próximo passo informe o endereço válido de internet da placa de rede ETH1 do BRMA de destino, o endereço local já estará preenchido.

Pronto, a ponta "A" está configurada, agora teremos que entrar no BRMA da ponta "B" e fazer o mesmo procedimento.

Atenção: Informando a chave compartilhada
Clique no ícone "Manutençao" dentro do menu da VPN e clique sobre a opção "Editar túnel", clique na opção Usar PSK e informe a chave compartilhada do Linksys.

Após criar o túnel deve editar o arquivo /etc/brma/vpn/*.conn e tirar a linha referente ao Gateway do aplicativo VPN --> Geralmente esses apliance são roteadores e VPN, por isso tem o Gateway e o IP da eth0 iguais.

Se o túnel foi criado corretamente basta ir no item de Status da VPN para verificar se o túnel está ativo, caso positivo um "LED" verde estará ativo, caso contrário o vermelho aparecerá.

No menu de Status o administrador pode derrubar um túnel já criado ou mesmo levantar um túnel que tenha caído por alguma falha de conexão, basta selecionar um dos itens de "Ação."

Importante: Caso queira apagar um túnel, derrube-o primeiro utilizando o menu de Status e depois entre no menu de Manutenção para apagá-lo utilizando a função de "excluir túnel" no campo de "Ação"

Configurando o Linksys para trabalhar com a VPN do BRMA.

Um Proxy é um intermediário que actua como cliente/servidor e que permite acesso a redes exteriores á nossa rede, com o intuito de criar uma porta de segurança entre a nossa Intranet e a Internet.  O Proxy pode também aumentar - em até 500% - a performance de seu acesso aos recursos de WWW, FTP e outros. Parece uma tarefa difícil aumentar a performance sem a ampliação do canal físico (link) de conexão com a Internet, mas, o Proxy atua em software para criar um "super cache".

. Podemos ver na figura 1 o principio de funcionamento de um Proxy.

Figura 1

Tipicamente, um Proxy está implementado de forma permitir o acesso, de dentro de uma Intranet protegida por um Firewall as redes exteriores à mesma ou seja, á Internet. Na maioria das situações este Proxy executa serviços de Gateway.

"Normalmente", dois computadores establecem uma logação TCP/IP do tipo cliente servidor, isto é, a maquina cujo endereço IP é c1.c2.c3.c4. é um cliente que deseja estabelecer uma ligação, para efectuar uma secção de trabalho, com o servidor s1.s2.s3.s4., como se pode ver na figura 2.

Figura 2

Com o crescimento exponencial da utilização da Internet, o trafego WWW nacional e internacional tambem cresceu exponencialmente, levando ao aparecimento de milhões de maquinas com endereços IP.

A criação de Routers com tabelas estáticas e/ou dinâmicas de encaminhamento veio ajudar a que o trafego na Internet se torna-se mais fluido. Mas não bastava, era necessário criar maquinas que suportassem serviços e protocolos que os clientes e servidores não pudessem ou não tivessem implementados (o caso do serviço de DNS), de forma a que o primeiro encaminhamento de uma ligação se torna-se o mais rápido possível.

Deram o nome de servidor Proxy a essa maquina, sendo um dos seus serviços o encaminhamento de uma ligação para o Router mais próximo do destinatário. Na figura três podemos ver uma ligação TCP/IP a ser estabelecida por um servidor Proxy. Através do serviço de DNS, o servidor Proxy sabe qual é o Router que pode, mais rápida e eficazmente, estabelecer a ligação entre o cliente c1.c2.c3.c4 e o servidor s1.s2.s3.s4.

Figura 3

Neste caso, o servidor Proxy comporta-se como um cliente/servidor, isto é, do lado do cliente c1.c2.c3.c4 ele é o servidor ps1.ps2.ps3.ps4 da web, enquanto que do lado do servidor s1.s2.s3.s4 ele aparece como o cliente pc1.pc2.pc3.pc4. Após o estabelecimento da ligação entre o servidor Proxy e o servidor de destino, o servidor Proxy liga o cliente ao servidor passando a ser transparente, tanto para o cliente de origem como para o servidor de destino, a sua presença na secção.

É usual os ISP (Internet Service Provider - Fornecedores de acesso á Internet) estabelecerem um servidor Proxy para os seus clientes (assinantes) por forma, não só a facilitar o encaminhamento das ligações como também para poderem estabelecer protocolos de segurança de acesso a conteúdos de alguma forma lesivos para eles (ISP) próprios.

Como funciona a transferência de Home Pages sem o Proxy

Quando você acessa home pages através do browser, ele vai fazendo uma cópia de tudo o que está sendo recebido da rede.

Acompanhe em um exemplo passo-a-passo o que acontece "nos bastidores":

O usuário se conecta à Internet e acessa a página da BRconnection (https://www.brc.com.br).

Nesse momento, tem início a transferência (através da linha telefônica e do modem) dos arquivos que compõem a home page desejada (texto HTML, /imagens etc.).

Depois disso, você começa a navegar, e visita, por exemplo, a página de um site de busca.

Ao final de seu acesso, você novamente volta à página da BRconnection,

Porém, desta vez não será necessária uma nova carga daqueles arquivos, pois seu browser já "guardou" as páginas localmente e agora, simplesmente, exibe o conteúdo, poupando trabalho e tornando o acesso um pouco mais rápido.

Como funciona a transferência de Home Pages com o Proxy

O proxy trabalha com a mesma filosofia, porém no servidor de acesso beneficiando, portanto, todos os usuários que acessam páginas e arquivos em comum.

Enquanto o usuário consulta uma página, o servidor, transparentemente, armazena uma cópia de seu conteúdo em disco, de forma que quando outros usuários acessarem a mesma página, o acesso torna-se local ao servidor e os dados são transferidos entre o servidor proxy e o usuário e não mais a partir de um provedor remoto e através da rede.

É importante notar, que o servidor proxy é otimizado para evitar falhas neste processo. Por exemplo:

O proxy verifica, de tempos em tempos, se as páginas guardadas sofreram alterações no provedor de origem. As páginas alteradas são recarregadas para estarem sempre atualizadas;

O proxy analisa a freqüência de acesso para manter as páginas que realmente interessam ao maior número de pessoas. Desta forma, mantém em disco as páginas por ordem de prioridade e, levando em conta o espaço de armazenamento para as páginas, o proxy calcula uma "relação" página/acesso para decidir que páginas manter ou descartar.

Assim. podemos sintetizar que, na pratica, um servidor Proxy implementa os protocolos cliente/servidor necessários para cumprir as seguintes funções:
  -- aceitar secções de clientes e aparecer-lhes como um servidor;
  -- receber do cliente o URL ou o endereço IP do servidor de destino da ligação;
  -- iniciar a ligação ao servidor de destino aparecendo-lhe como um cliente;
  -- criar a sessão entre o cliente de origem e o servidor de destino, fazendo a transferencia dos pedidos, respostas e dados entre eles;
  -- praticar o controlo de acesso conforme o desempenho de servidor Proxy que estiver estabelecido.

Podemos então dizer que , o objetivo funcional de um servidor Proxy é estabelecer sessões para troca de dados entre clientes e servidores que não têm ou não podem estabelecer uma ligação IP directamente entre eles.

Ao nível de segurança um servidor Proxy implementa o controlo de acesso que tipicamente o software de cliente ou servidor não suportam ou não têm implementado.

Procedimento:

Introdução

Muitas dúvidas existem com relação ao serviço de FTP. Quando o serviço está instalado atrás de um firewall o protocolo de FTP  é um pouco complicado para ser implantado com segurança.

O objetivo deste documento é de tentar passar uma idéia de como o protocolo pode ser aplicado, e qual a melhor maneira de aplicá-lo com firewall.

O FTP

O protocolo FTP (File Transfer Protocol) foi desenvolvido para transferir arquivos entre dois HOSTS. Duas conexões TCP são necessárias para poder realizar a transferência. Uma das conexões fica responsável por tratar os comandos tipo: (get, put, ls, etc...) e a outra para transferência dos dados.

Existem dois módulos de aplicação do protocolo FTP (PASSIVO E ATIVO). Vamos conhecer os dois e ver as vantagens e desvantagens dos dois.

FTP ATIVO

O modo ATIVO do FTP é o mais antigo e o mais comum de ser utilizado. Ele usa a porta 21 para fazer a conexão e executar os comandos e a porta 20 para transferência dos dados.

O cliente solicita uma conexão através de uma porta local não privilegiada (acima da porta 1024) para o servidor na porta 21. Quando um comando é executado pelo cliente, o servidor responde solicitando uma conexão da porta 20 para uma nova porta não privilegiada, e como controle, essa porta é a soma da porta que o cliente usou para se conectar ao servidor na porta 21 +1.

Exemplo:
Quando essa conexão é feita em uma rede local ou uma rede confiavel (sem filtro), não temos problema algum. Agora imagine que o cliente esteja atrás de um firewall.

Como o servidor FTP precisa se conectar ao da sua porta 20 para a porta acima de 1024 + 1 do cliente, então precisamos permitir no firewall do cliente conexões com origem porta 20 e destino a estação em qualquer porta acima de 1024. Porém isso não é muito bom, pois hackers podem criar aplicativos não FTP que usam a porta 20 como origem e tentar atacar serviços nas estações que estejam acima da porta 1024.

Para isso que foi desenvolvido o modo PASSIVO.

FTP PASSIVO

O FTP PASSIVO também trabalha através de duas conexões, sendo que a primeira na porta 21 como no modo ATIVO e a segunda criada dinamicamente pelo servidor. A grande diferença é que tanto a porta 21 (CMD) como a porta dinâmica (TRANSFERÊNCIA) são mantidas em modo de escuta pelo servidor, ou seja, o cliente que sempre terá que fazer a conexão.

Exemplo:
Agora não precisamos permitir nenhuma entrada para o firewall do cliente, somente se a conexão for originada dele mesmo. Mas temos outro problema, imagina que agora o firewall esteja no lado do servidor. O firewall vai ter que permitir novas conexões do cliente com portas acima de 1024 do servidor FTP. Isso também não é muito legal, pois se este servidor de FTP possuir outros serviços acima da porta 1024, eles também serão acessados.

Para garantir o máximo de segurança possível, temos que instalar o servidor de FTP em uma DMZ servindo apenas esse protocolo.